Recherche

RGPD: 5 règles d'or à suivre

Publié par le

CEO de DPMS et fondateur de l'Union des data protection officer (UDPO), Xavier Leclerc est une référence en termes de protection des données personnelles depuis plus de 20 ans. Voici ses 5 conseils clés pour envisager sereinement sa mise en conformité avec le RGPD d'ici mai 2018.

Je m'abonne
  • Imprimer

Règle #1: nommer un data protection officer (DPO)

La mise en conformité avec le RGPD commence par la nomination d'un DPO. Peu d'entreprises le savent, mais c'est en quelque sorte celui ou celle qui incarnera le RGPD en interne (ou en externe). Le DPO doit posséder de solides compétences en droit des nouvelles technologies et en droit des données personnelles. Il doit également avoir une bonne connaissance des TIC.

Règle #2: cartographier les traitements de données personnelles

Ici, il s'agit de dresser un registre des traitements pour identifier l'impact du RPGD sur ces derniers. Il est alors nécessaire de classer les traitements, déterminer leurs objectifs respectifs, catégoriser les données personnelles (données de santé, données professionnelles...), identifier les acteurs qui traitent les données (internes et/ou externes), et enfin, retracer l'historique des données (origine et destination).

Règle #3: mettre en place un plan d'action

Dans une logique naturelle, les étapes précédentes auront permis de faire un état des lieux de l'ensemble des traitements. À partir de cet état des lieux, il sera plus facile d'établir un plan d'action pour la sécurisation des données. Il s'agira également de faire le point sur les conditions d'exercice des droits des cibles des traitements (importance du consentement, exercice du droit à l'oubli...). En outre, la finalité de chaque traitement ainsi que leur durée de conservation et leur destruction devront être bien définies. En d'autres termes, l'établissement d'un plan d'action revient à revoir complètement la politique de confidentialité de l'entreprise prenant notamment en compte les sous-traitants.

Règle #4: gérer les risques

Si l'on réussit à identifier les traitements qui présentent un risque élevé pour les droits et libertés des personnes concernées, il faudra effectuer sur chacun de ces traitements une analyse d'impact sur la protection des données (DPIA). Cette analyse peut grandement faciliter la construction d'un traitement plus respectueux de la vie privée. Et parfois, c'est la seule manière de se conformer au RGPD.

Règle #5: refonte de l'organisation interne

Pour assurer un niveau de protection élevé à tout moment, il est indispensable de faire une refonte de l'organisation interne, plus précisément, mettre en place des procédures internes garantissant la protection des données à tout moment. Le processus peut nécessiter une veille technologique et juridique, la sensibilisation du personnel (sensibilisation à la privacy), l'anticipation des violations de données... Il est donc essentiel de souligner que, parfois, l'accompagnement d'un professionnel s'avère indispensable pour se faciliter la tâche!

S'abonner
au magazine
Se connecter
Retour haut de page