Se préparer au règlement général de protection des données, le RGPD – Etape 1

rgpdRédigé par F Granovsky – FGConseil.fr

Le règlement européen sur la protection des données personnelles (RGPD) adopté le 27 avril 2016, a été publié le 4 mai 2016 au Journal Officiel. Ce RGPD sera applicable dans l’ensemble des pays de l’Union Européenne en 2018 avec des obligations plus fortes pour les entreprises et des sanctions renforcées.

S’il est urgent de s’y préparer, on ne sait par quoi commencer… Je me propose de vous accompagner étape après étape.

Etape 1 : Rédiger une documentation détaillée

Le nouveau règlement[1] a dans ses objets de libérer les entreprises de la plupart des formalités préalables obligatoires au traitement des données à caractère personnel. Par conséquent, il ne sera plus nécessaire de déclarer à la Cnil les traitements les plus courants et sans risque pour la personne concernée.

En échange de quoi, l’entreprise devra s’engager et prendre pleinement la responsabilité des traitements qu’elle met en œuvre. Elle devra assurer la protection de la personne et anticiper les risques autour des données détenues.

–>Une documentation très détaillée sur les données personnelles détenues et les traitements opérés est une première étape. Cette documentation restera la référence et le point d’appui des traitements en accord avec le règlement.

  • Rappelons ce qu’est une donnée personnelle[2

Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

–> Le nouveau règlement étend la notion de donnée personnelle, qui de plus en plus présente, devient universelle.

  • Rappelons ce qu’est un traitement[3]

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

–>Cette notion reste proche de la définition donnée dans la loi I&L modifiée (les seuls ajouts sont en italique)

Quelle documentation ? Comment ?

Il s’agit d’un inventaire qui ressemblera fort à celui du registre des traitements constitué actuellement par le Correspondant Informatique et Libertés.

–> Procéder à cet inventaire sans attendre en commençant par les grandes lignes pour aller ensuite dans le détail de chaque traitement et de chaque donnée.

Les rubriques de ce premier inventaire :

  • Lister tous les traitements de l’entreprise faisant intervenir des données personnelles
  • Pour chaque traitement, préciser et détailler la finalité – !  Il devra n’y avoir qu’une seule finalité par traitement
  • Pour chaque traitement, préciser “qui” met en œuvre
  • Pour chaque traitement, préciser “qui” gère le respect des droits des personnes concernées
  • Lister les catégories de personnes concernées
  • Lister les données personnelles traitées de manière exhaustive en précisant pour chaque donnée personnelle traitée, sa sensibilité, sa source, son caractère obligatoire ou non, ses destinataires (y compris hors EU), sa relation à une décision automatisée et sa durée de conservation – Rappelons que la durée de conservation va varier avec la finalité (d’où l’importance d’une organisation par finalité).

A suivre : Etape 2 – Mettre en place le “privacy by design”

———

[1] Article premier – Objet et objectifs

  1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
  2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
  3. La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

[2] Extrait du RGPD

[3] Extrait du RGPD

Ce contenu a été publié dans expertise, Formation, Information, avec comme mot(s)-clé(s) , , , , , , , , , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.