La CNIL publie les étapes clefs pour se mettre en conformité avec le RGPD

dans Entreprise

Le règlement général sur la protection des données (RGPD) devra s’appliquer à tous les professionnels à partir du 25 mai 2018. La CNIL met à leur disposition de nombreux outils leur permettant de se préparer et fait le point sur la transition vers ce nouveau cadre juridique.

 

Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. Les organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée. En contrepartie de cette réduction du contrôle en amont, le RGPD renforce les pouvoirs de sanction des CNIL nationales.

Pour s’assurer de leur conformité à tout instant, les responsables de traitements disposeront de nouveaux outils (analyses d’impact, registre) et de nouvelles personnes ressources (les délégués à la protection des données).

Le RGPD consacre donc un nouveau mode de régulation. Ces règles seront précisées et complétées par le projet de loi actuellement en discussion au Parlement.

Il est essentiel que les responsables de traitement se préparent activement, dès maintenant, à cette échéance.

 

La CNIL a publié notamment les 6 points clefs pour la mise en œuvre du RGPD au sein de chaque entité.

Etape 1 = désigner un pilote : il faudra désigner un chef d’orchestre qui sera chargé de mettre en place, vérifier et contrôler la mise en œuvre du RGPD.

Etape 2 = cartographier : il faudra recenser de manière précise tous les traitements de données personnelles en élaborant un registre des traitements.

Etape 3 = prioriser : il faudra identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Il s’agit de prioriser les actions au regard des risques que font peser les traitements sur les droits et libertés des personnes concernées.

Etape 4 = gérer les risques : si des risques élevés d’atteinte aux droits et libertés des personnes concernés sont identifiés, il s’agira de mener une analyse d’impact sur la protection des données (PIA)

Etape 5 = organiser : il faudra mettre en place des procédures internes écrites qui garantissent la prise en compte de la protection des données en prenant en compte tous les événements pouvant survenir au cours de la vie d’un traitement de données.

Etape 6 = documenter : tous les process devront être écrits, et les actions réalisées devront être réexaminées et actualisées régulièrement.

 

 

Commentaire AMC : les étapes clefs définies par la CNIL sont un bon point d’appui pour commencer un travail de fond sur la mise en conformité du RGDP. C’est une forme de management des risques, un peu à la manière du plan de continuité d’activité.

 

 

Marlène BURGARD
Juriste pour AMC

marlene.burgard@amcsa.fr


Partager l'article sur

Autres articles dans Entreprise