RGPD 1, 2, 3 Partez …

La date du 25 mai 2018 s’approche et les esprits s’échauffent.

Le RGPD et ses 99 articles restent obscurs pour le plus grand nombre qui aura entendu « TOUT et SON CONTRAIRE » sur le sujet.

2 questions reviennent souvent :

  • Mon entreprise est-elle concernée ?

Oui, toutes les entreprises et organismes traitant en UE ou en dehors de l’UE des données de personnes situées en Europe, sont concernées

  • Dois-je désigner un Délégué à la Protection des Données ?

La réponse est ici à https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37

  • Dois-je tenir un registre des traitements ?

La réponse est ici à https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30

Ensuite, soyez pragmatique, simple et efficace : Fixez-vous un objectif, point d’entrée dans la conformité, en priorisant les sujets et réalisez sans attendre et à minima, ces 3 premières étapes que sont :

  1. Le Registre des traitements
  2. Les contrats avec les sous-traitant
  3. Les modalités d’exercice des droits des personnes

Comment ?

  • LE REGISTRE DES TRAITEMENTS
  1. Repérez où sont les données à caractère personnel dans votre entreprise : TOUTES les données personnelles en vous aidant des définitions à https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
  2. et toutes les données sensibles (catégories particulières de données selon le RGPD), définitions ici à  https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9
  3. Faites l’inventaire des traitements que vous mettez en œuvre, TOUS les traitements
  4. Organiser ces traitements en fiches descriptives en suivant le modèle de fiche de registre proposé par la CNIL à https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

Vous aurez une fiche par traitement avec à chaque fois :

  1. Le nom du traitement, sa finalité et ses sous-finalités
  2. Les acteurs de la mise en œuvre
  3. Les mesures de sécurité
  4. Les catégories de personnes concernées
  5. Les catégories des données personnelles concernées
  6. Leurs durées de conservation
  7. Les destinataires
  8. Le détail des transferts hors UE

Ensuite vous poursuivrez cette mise en conformité par les chantiers décrits  à https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

  • LES CONTRATS AVEC LES ACTEURS

N’oubliez pas TOUS les acteurs : sous-traitants mais aussi prestataires et autres tiers et destinataires.

Vous suivrez strictement le Guide élaboré par la CNIL – Reprenez simplement les modèles proposés à https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

  • MODALITES POUR L’EXERCICE DES DROITS DES PERSONNES

Parce que l’un des objectifs du RGPD est de permettre à la personne concernée de se réapproprier ses données, les droits des personnes sont étendus et toutes les mentions et autres pavés CNIL sont à réécrire. La Cnil fera des recommandations pour ce faire et vous les appliquerez.
Vous devrez aussi répondre aux obligations de respect des droits suivant des modalités très précises. Il n’y aucune raison d’attendre pour les mettre en œuvre, pour les comprendre à https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12

D’autres chantiers suivront bien sûr, mais ces 3 étapes accomplies vont vous aider à voir plus clair.

Il est impératif de les réaliser avant le 25 mai prochain ! N’attendez plus… 

Ce contenu a été publié dans expertise, Information, avec comme mot(s)-clé(s) , , , , , , , , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.