MISE EN CONFORMITÉ INITIALE AU RGPD PAR ENTITÉ JURIDIQUE

LES DIFFERENTES PHASES DE LA MISE EN CONFORMITÉ

Communication par l'entreprise de son organigramme

Nous avons besoin de connaitre et de comprendre l’entreprise et son activité et de savoir, au sein de celle-ci, « qui est qui », et « qui fait quoi ».

Entrevue dans l'entreprise avec les personnes clés pour le RGPD

Gérant, président, responsables de secteurs, ressources humaines, comptable, marketing, informatique (DSI, RSSI), collaborateurs en charge de la mise en œuvre…

Cartographie du système d'informations

La cartographie permet de recenser et d’avoir une image des différents types de données personnelles que l’entreprise détient, traite et ainsi de comprendre comment elle les gère.

De cette analyse va découler une série de vérifications et de préconisations sur les actions à réaliser.

 

Vérification de la nécessité de réaliser une analyse d’impact, relative à la protection des données (AIPD)

Une analyse d’impact – ou Privacy Impact Assessment (PIA) – sur la protection des données à caractère personnel est nécessaire lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. 

Avant de réaliser une (PIA) des critéres permettent d’évaluer cette nécessité.

La CNIL a par ailleurs mis en ligne un logiciel gratuit permettant de réaliser son analyse d’impact sur la protection des données personnelles (PIA).

Cet outil permet au responsable de traitement de soumettre au DPO l’analyse d’impact effectuée.

Mise en place du registre des traitements et de ses finalités

« Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité. »

Ce registre ne présente pas beaucoup de particularité autre que de nécessiter un énorme travail de recensement de l’ensemble des traitements mis en œuvre (et non des applications informatiques utilisées par une entreprise – même si cela donne des indications).

Les informations qui doivent y figurer sont réglementées, donc les choses sont assez claires sur ce point.

Voici la liste pour chaque traitement :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

    Mise en place - si nécessaire - du registre des sous-traitants

    « Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement »

    a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

    b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

    c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

    d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

    Mise en place de la documentation des notifications de violations de données personnelles

    Les violations de données personnelles doivent être notifiées à la CNIL – notamment – et doivent être consignées dans un document spécifique.

    Ainsi, en cas de contrôle, la CNIL pourra analyser le registre des incidents de sécurité – afin de déterminer si l’ensemble des violations sont bien suivies par l’organisation.

    Vérification des mentions légales relatives au RGPD (CGV, CGS, CGU et site web)

    Vérifications des différents textes en relation avec le RGPD dans les :

    • Mentions légales 
    • CGV 
    • CGU 
    • Site Web
    Vérification de la conformité au RGPD des fournisseurs en place

    La co-responsabilité de l’entreprise avec les fournisseurs du fait des données personnelles échangées impose la vérification de leur conformité au RGPD.

    Audit des points sensibles adaptés a l'entreprise

    De nombreux points organisationnels et techniques concernent le RGPD ; nous avons donc créé une liste type que nous adaptons en fonction de l’entreprise que nous conseillons.

    Nous communiquons cette liste à la suite de nos premiers contacts dans l’entreprise à la personne ressource qui nous est désignée comme référent.

    Information et sensibilisation des salariés

    Au travers du syndicat local ou/et directement avec les salariés suivant le contexte.

    De la nécessité de prouver la conformité au règlement en constituant et en regroupant la documentation

    Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

    Le dossier devra notamment comporter les éléments suivants :

    LA DOCUMENTATION SUR LES TRAITEMENTS DE DONNÉES PERSONNELLES

    • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants),
    • S’il y a eu lieu, les analyses d’impact relatives à la protection des données (AIPD) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes,
    • L’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles – types, les BCR et certifications).

    L’INFORMATION DES PERSONNES

    • Les mentions d’information,
    • ​Les modèles de recueil du consentement des personnes concernées,
    • Les procédures mises en place pour l’exercice des droits.

    LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

    • Les contrats avec les sous-traitants,
    • Les procédures internes en cas de violations de données,
    • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
    Remise du rapport final

    Le rapport reprend les différentes actions ayant été menées, et les actions ayant été préconisées avec, dans les deux cas, leurs niveaux de réalisations

    Logo de certification de conformité au RGPD avec date de la certification

    La certification est-elle délivrée par la CNIL ?

    Non, la CNIL ne délivre pas de certification de conformité au RGPD. Elle s’appuie sur des organismes du type de Euro Data Protection qui, sur la base de leur connaissance de la réglementation, délivrent cette certification dans le cadre d’un label privé, après avoir effectué la mise en conformité de l’entreprise.

    Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées. De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.