Le Règlement européen sur la protection des données compte une centaine d’articles, répartis en onze chapitres. Il reprend les exigences de la Directive 95/46/CE et intègre de nouvelles dispositions, notamment des sanctions pouvant atteindre 4% du chiffre d’affaires annuel mondial total. Il est applicable depuis mai 2016, un délai de mise en application des dispositions du Règlement est accordé aux entreprises jusqu’en mai 2018. Il convient donc de prendre les mesures nécessaires afin de se mettre en conformité.
Il est dispensable d’aborder la mise en conformité du point de vue Juridique, mais également du point de vue SI et SSI. Cela permettra de définir de manière pragmatique les projets à déclencher et les livrables à fournir afin d’être conforme au Règlement d’ici mai 2018.
Rôles et Responsabilités :
Concrètement, cette nouvelle organisation en termes de rôles et responsabilités implique :
De fournir les preuves du respect du Règlement à l’autorité de contrôle, c’est à dire :
De disposer d’un descriptif des mesures de sécurité techniques et organisationnelles mise en place (ex : Chiffrement),
D’actualiser le plan de contrôle de l’entreprise pour vérifier la mise en place de ces mesures et plus généralement, pour vérifier la conformité au Règlement (ex : Information des personnes concernées).
De revoir le cadre juridique des prestations,
De désigner et de redéfinir les missions du DPO (Data Protection Officer – actuel CIL) pour le placer au cœur du traitement des données (fiche de poste, formations…)
Organisation Projet :
L’ensemble des projets utilisant des données à caractère personnel devra respecter un certain nombre d’exigences et le DPO (Data Protection Officer) doit être au centre de cette nouvelle organisation.
Concrètement, cette nouvelle organisation projet implique :
De déterminer la finalité du traitement (pour chaque projet) et d’en informer le DPO,
De réaliser, pour chaque projet, une analyse de risques documentée (typologie des risques, scores, taux de conformité, taux de résolutions, cellules de crises…).
Organisation sur le cycle de vie d’une donnée :
Concrètement, cette nouvelle organisation projet implique :
De disposer d’un processus de recensement des consentements,
De disposer de registres de traitement tenus à jour (catégorie de données personnelles, traitements effectués sur ces données, cartographie de stockage des données…),
De garantir les droits des personnes concernées, c’est-à-dire de disposer :
De processus des modalités d’exercice des droits des personnes concernées,
D’une historisation des demandes,
D’un PCA / PRA garantissant l’exercice des droits des personnes concernées dans un délais raisonnable.
De disposer d’une politique d’anonymisation et de pseudonymisation,
De disposer d’une politique de purge des données.
Actinuance Consulting (spécialisée en gestion des risques) s’associe à un cabinet juridique pour vous proposer ses services et vous aider à définir un plan de mise en conformité GDPR.
N’hésitez pas à nous contacter pour plus d’informations.
Estelle