Se préparer au nouveau règlement général de protection des données, le RGPD – Etape 2

rgpdRédigé par F Granovsky – FGConseil.fr

S’il est urgent de s’y préparer, on ne sait pas par quoi commencer… Je me propose de vous accompagner étape après étape.

Après l’Etape 1, Inventaire de tous les traitements mis en œuvre dans l’entreprise et l’élaboration d’une documentation détaillée associée et il est nécessaire de passer à l’étape suivante.

Etape 2

Vous l’avez compris, le temps passe et la ligne d’arrivée avance…

Rappelons que tout nouveau traitement mis en œuvre depuis mai 2016 doit être prendre en compte les nouvelles obligations du RGPD et que l’ensemble des traitements touchant à la privacy en Europe devront être conforme au plus tard le 25 mai 2018.

Aussi, revenons à la vision globale des travaux à mener et évoquons les 4 piliers du RGPD et ses principales obligations soit :

  • Les Etudes d’impact
  • Le Privacy by design
  • L’Accountability
  • Les notificatins des vfailles de sécurité

A ces piliers s’ajoutent un grand nombre de sujets complémentaires mais peut-être un peu moins prioritaires dans l’ordre de ce qu’il faudra accomplir.

Abordons aujourd’hui l’Etude d’impact.

  • Une étude d’impact, c’est quoi ?

La Cnil propose sur son site une documentation très qualitative sur ce qu’est une PIA (Privacy Impact Assessment) ou Etude d’impact sur la vie privée

https://www.cnil.fr/fr/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil

Il s’agit d’analyser et identifier avec méthode, pour chaque traitement mis en œuvre, les risques engendrés sur les données personnelles afin d’en préserver la sécurité par tout moyen, c’est à dire :

–>Respect des principes et droits fondamentaux « non négociables » – Il s’agit d’appliquer strictement la loi.

–>Gestion des risques sur la vie privée des personnes concernées par le traitement (mesures techniques et organisationnelles)

  • Concrètement comment aborder une étude d’impact ?

Vous trouverez ici quelques règles simples d’organisation.

Tout d’abord comprenez : un traitement à une étude d’impact

Chaque traitement DOIT faire l’objet d’une étude

  • Comment ?

1 – A partir de la documentation du traitement élaboré à l’Etape 1, on dispose d’une étude du contexte et des enjeux du traitement.

2 – Il faut ensuite éclairer la manière dont les obligations légales sont respectées dans le traitement.

3 – Puis, éclairer la manière dont les risques sur la vie privée sont traités et pour cela, les envisager TOUS.

4 – Puis enfin, valider la manière dont les aspect exigences légales et risques seront traités

  • Concrètement

Une méthode sera déroulée suivant le schéma:

  • Contexte (traitement et enjeux)
  • Mesures (Comment sont traités les exigences légales et risques sur la vie privée)
  • Risques (Appréciation des risques et l’évaluation des solutions proposées – quel risque, comment, pourquoi ? avec un niveau de vraisemblance mais aussi de gravité, appliqué à la solution proposée)
  • Décision (Evaluation et validation des choix opérés en matière de protection de la vie privée et de risques pour quel plan d’action)

-Le processus se veut continu et itératif – Ainsi tout doute sur une validation de décision va engendrer de réitérer : mesure, risques et décision.

-Il en va de même lors de quelque évolution de contexte.

-Il est par conséquent raisonnable de revisiter les études d’impact périodiquement

Cette démarche est à appliquer dès la conception d’un traitement de données personnelles. On disposera ainsi d’un cadre clair et optimisé.

L’étude d’impact tardive risque de générer des contraintes lourdes de conséquences (choix à revoir, charges financières)

  • Quels acteurs dans l’entreprise

Le responsable de traitement, la DSI, les chefs de Projets, la direction Marketing/relation Client et le CIL, futur DPO –  Les études d’impact vont impliquer divers acteurs dans l’entreprise. Pour avancer, il faudra clairement lister puis synchroniser les différentes actions et les étapes de validation par acteur.

  • Comment se présente l’Etude d’impact (PIA)

Une présentation en 6 rubriques :

  • Le traitement (finalité données)
  • La cartographie des risques
  • Les mesures de nature juridique (privacy)
  • Les mesures traitant les risques de violation
  • Résumé du plan d’action
  • La validation du PIA

A suivre…d’autres articles sur la RGPD et ses étapes de mise en place

Ce contenu a été publié dans expertise, Formation, Information, avec comme mot(s)-clé(s) , , , , , , , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.