RGPD : les 6 étapes de la conformité

Jusqu’à présent, la protection des données à caractère personnel reposait sur un régime de déclaration et d’autorisation préalable.

A travers le principe de responsabilisation (« accountability »), le Règlement général sur la protection des données (RGPD) impose aux responsables de traitements, comme aux prestataires sous-traitants, d’être en mesure de démontrer qu’à tout moment, le traitement des données à caractère personnel est effectué conformément au RGPD.

D’où l’importance d’un programme de conformité qui conduise au respect de cet objectif et au maintien de cette conformité dans le temps.

Etape 1 : Désigner un pilote

La première étape vers votre mise en conformité sera de nommer un Délégué à la Protection des Données (ou Data Protection Officer (DPO)). Son rôle sera d’agir comme un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne.

En attendant 2018, vous pouvez d’ores et déjà désigner un Correspondant Informatique et Libertés (CIL) pour veiller à la sécurité juridique et informatique de votre entreprise.

Ressources CNIL

• Le CIL et le futur délégué à la protection des données
• Guide pratique de la prise de fonction du CIL
• Devenir délégué à la protection des données

L’étape 1 est franchie, si

• Un CIL ou un DPO a été nommé
• Des moyens matériels, financiers et humains lui ont été affectés pour mener à bien ses missions

L’avis de l’expert 

La mise en conformité au RGPD oblige les organisations (entreprises du secteur privé, et administrations du secteur public) à élaborer les règles de gouvernance en matière de protection des données à caractère personnel.
 
Cela suppose selon le cas, de repenser l’organisation actuelle dans la perspective d’une prochain transition entre CIL actuel et futur DPO, ou de désigner un CIL et futur DPO.
Dans les deux cas, il s’agit de définir ou de redéfinir les attributions et les fonctions du CIL et futur DPO, et de déterminer les moyens et les ressources dans l’exercice de ses différentes tâches, rôles et responsabilités, sous la direction et l’impulsion d’un « sponsor » au plus haut niveau hiérarchique de l’organisation (direction générale ou secrétariat général).

Etape 2 : Cartographier vos traitements de données personnelles

La deuxième étape consiste à recenser de façon précise tous les traitements de données personnelles dans votre entreprise.

Ressources CNIL

• Modèle de registre règlement européen
• Exemple de fiche de registre CIL

L’étape 2 est franchie, si

• Les workshops avec les services et les entités ont été réalisés
• L’inventaire des traitements par finalité principale et les types de données traitées ont été établis
• Les sous-traitants qui interviennent sont identifiés sur chaque traitement, c’est-à-dire si le responsable de traitement sait à qui et où les données sont transmises
• Le responsable de traitement sait où sont stockées les données
• Le responsable de traitement sait combien de temps les données sont stockées (conservation/archivage)

L’avis de l’expert

Il s’agit d’une étape clé, directement liée au recensement des traitements de données en cours ou à venir, pour toutes les organisations éligibles au RGPD, en vue d’établir le registre des activités de traitements de données.
 
Cet état des lieux vise aussi à identifier les moyens existants déjà mis en place, et au-delà les écarts pouvant exister au regard du niveau de conformité attendu au 25 mai 2018 et postérieurement au RGPD.
 
Ce recensement préfigure aussi des actions qui seront à mener afin d’assurer le programme de conformité au RGPD, lesquelles seront définies dans une feuille de route permettant d’identifier les besoins aussi bien que les contraintes, et au-delà les ambitions et les objectifs de conformité pour chaque organisation.

Etape 3 : Prioriser les actions à mener

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir.

Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées

RESSOURCES CNIL

• Guide pratique pour accompagner les sous-traitants
• Exemple de clauses à insérer dans les contrats entre Responsable de traitement et Sous-traitant

L’étape 3 est franchie, si

• Les données à risque (données sensibles) et les traitements à risque (documentation et mesures organisationnelles et techniques absentes, incomplètes ou imparfaites) sont identifiés
• Les premières mesures sont mises en place :
  • Seules les données strictement nécessaires sont collectées et traitées, la base juridique est assurée (consentement, contrat, intérêt légitime, obligation légale), les mentions d’information pour les personnes concernées sont mises à jour, les clauses des contrats avec les sous-traitants sont mises à jour, etc.

L’avis de l’expert

La priorisation des actions vise à préciser le contenu d’une feuille de route, dans le cadre de laquelle sera mis en place un véritable plan d’actions, lequel prévoira l’implémentation tant pour les nouvelles règles de gouvernance des données à caractère personnel, que pour les nouveaux processus associés à la protection des données (tels que, la gestion des failles de sécurité, la gestion du cycle de vie de la donnée, etc.).
 
Ce plan d’actions et son déploiement comprendront aussi des indications concernant les jalons ou les étapes au cours desquels il conviendra de mettre en place les nouveaux outils de conformité (tels que, registre des traitements de données, outils d’anonymisation ou de pseudonymisation en fonction des catégories de données et de leur caractère sensible ou non, etc.).

Etape 4 : Gérer les risques

Pour les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener une analyse d’impact sur la protection des données (PIA)

RESSOURCES CNIL/G29

• Les lignes directrices du G29 concernant les analyses d’impacts ((D) PIA – Data Protection Impact Assessment)
• PIA-1-Methode de la CNIL, qui présente la méthode pour réaliser les PIA
• PIA-2-Modèles et bases de connaissances de la CNIL pour réaliser les PIA
• PIA-3-Bonnes Pratiques de la CNIL, qui constitue un catalogue de mesures, destinées à respecter les exigences légales et à traiter les risques appréciés avec cette méthode

L’étape 4 est franchie, si

• Les mesures permettant de répondre aux principaux risques et menaces qui pèsent sur la vie privée des personnes concernées sont mises en place (anonymisation des données sensibles, contrôle des accès, gestion des droits et habilitations, etc.)

L’avis de l’expert

La réussite d’un programme de conformité suppose de savoir identifier et apprécier le niveau de risques, aussi bien au regard de l’existant, qu’en prenant en considération les différents travaux de remédiation afin d’aboutir à un niveau de protection adéquat.
 
Selon une approche et une démarche progressive, afin de rationaliser les investissements à mettre en œuvre, il est indispensable de savoir évaluer les actions prioritaires tout en poursuivant un objectif de réduction des risques.
 
En ce sens, la gestion des risques, associée à l’établissement d’analyses d’impact sur la protection des données, impliquent pour les organisations de savoir établir et documenter de véritables dossiers, pour les traitements les plus sensibles, ce qui revient à être en mesure de s’interroger sur les principaux points suivants :
 
– Quels sont les données et les traitements concernés ?
– Comment réaliser cette analyse et organiser cette gestion des risques ?
– Quels sont les risques résiduels les plus sensibles pouvant conduire à devoir consulter l’autorité de contrôle (en France, la CNIL) ?

Etape 5 : Organiser les processus internes

Mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire, etc.).

RESSOURCES CNIL

Afin de vous aider dans cette démarche, la CNIL a mis en ligne deux ressources qui vous seront utiles :

• Formulaire de notification de violations de données personnelles
• Téléservice de notification de violations de données personnelles (disponible en mai 2018 sur cnil.fr)

L’étape 5 est franchie, si

• Les processus internes de protection des données, remontée d’informations, gestion des réclamations et des plaintes, gestion des incidents et failles de sécurité sont mis en place

L’avis de l’expert

Au plan organisationnel et technique, il s’agit d’encadrer et de documenter, dans un souci de conformité légale et réglementaire des processus de type : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire, etc.
 
L’organisation des processus internes sur la protection des données à caractère personnel s’élargit en pratique en partant de zones organisationnelles et techniques, pour aller vers des zones juridiques ou éthiques.
 
L’ensemble des processus internes sur la protection des données à caractère personnel vont permettre de constituer des règles et des mécanismes internes de contrôle et de suivi, en cherchant ainsi à créer une véritable piste d’audit fiable tout au long du cycle de vie des données et de la chaine des traitements de données.

Etape 6 : Documenter la conformité

Pour prouver votre conformité au Règlement, vous devez constituer et regrouper la documentation nécessaire.

Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

L’étape 6 est franchie, si

• La documentation sur les traitements de données personnelles existe, c’est-à-dire :
  • Le registre des traitements (pour les Responsable de traitement) ou des catégories d’activités de traitements (pour les Sous-traitants)
  • Les analyses d’impact sur la protection des données (PIA – voir étape 4) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
  • L’encadrement des transferts de données hors de l’Union européenne (notamment les clauses contractuelles types ou les Binding Corporate Rules (BCR))

L’avis de l’expert

Documenter les mesures organisationnelles et techniques mises en œuvre ne suffit pas.
 
Il convient pour les organisations d’être en mesure de démontrer qu’à tout moment, les traitements de données à caractère personnel, sont effectués conformément au RGPD, aussi bien en interne, mais également dans la gestion de la relation avec tous les points de contacts externes (administrations, fournisseurs, partenaires, sous-traitants, etc.).
 
Ainsi, au-delà du registre des traitements de données, et des éventuelles analyses d’impact sur la protection des données, se mettre en conformité avec les attentes du RGPD, c’est aussi notamment revoir et mettre à jour toutes les mentions d’information sur tous les supports de contacts à destination des personnes concernées.
 
C’est également être en mesure de pouvoir prouver le recueil du consentement des personnes concernées et l’exercice à tout instant des droits des personnes concernées lorsqu’elles le sollicitent.
 
C’est enfin encadrer les transferts de données en particulier hors de l’Union européenne et selon le cas, savoir faciliter la reconnaissance de conformité de l’organisation avec le RGPD, par l’application d’un code de conduite ou d’un mécanisme de certification.