Attention ! Il ne reste plus que 5 mois avant la mise en place du nouveau règlement européen concernant la protection des données personnelles (25 mai 2018). Il vaut mieux anticiper car même si elle n’est pas insurmontable, cette évolution va nécessiter une certaine réorganisation en interne, et surtout plus de rigueur. Au bout du compte, la CNIL sera moins présente, mais chaque entreprise concernée devra être plus autonome et plus responsable. Voici comment se préparer en six étapes !
Etape 1 : nommer un délégué
Cette personne en interne sera l’interlocuteur privilégié des autorités de protection des données. Il/elle sera formé(e) aux législations en vigueur et son regard global sur les opérations de l’entreprise concernant toute gestion de données personnelles permettra à celle-ci d’éviter les risques et les contentieux. Ce délégué est obligatoire pour les services publics et les entreprises qui traitent régulièrement et à grande échelle de nombreuses données personnelles, et a fortiori si ces données sont sensibles. Pour les autres entreprises, il est fortement conseillé d’avoir un délégué.
> Tout savoir sur cette étape sur le site de la CNIL
Étape 2 : recenser les traitements des données personnelles
Avant la mise en route de ce nouveau règlement, il va être important pour votre structure de faire un état des lieux précis des données personnelles collectées ou prochainement collectées, afin d’identifier leur degré de sensibilité, de voir comment elles sont traitées et protégées, par qui et pour combien de temps, et de comparer la situation aux réglementations en vigueur et à venir. Ce recensement prendra la forme d’un registre des traitements pour plus de visibilité et de transparence par la suite.
> Tout savoir sur cette étape sur le site de la CNIL
Étape 3 : mener des actions pour se conformer aux législations
Une fois ce recensement réalisé, il est très probable que vous ayez à mener différentes actions en interne et en externe (sous-traitants, information des usagers ou clients au sujet de leurs données personnelles…) afin que votre structure réponde aux exigences des normes en vigueur en vue de la promulgation de ce nouveau règlement européen en mai 2015. Ces actions pourront porter sur le fond comme sur la forme de la gestion de ces données.
> Tout savoir sur cette étape sur le site de la CNIL
Étape 4 : réaliser une analyse d’impact sur la vie personnelle
Si certaines données peuvent représenter un quelconque risque, il convient de mener une analyse poussée afin de limiter tout éventuel impact sur la vie privée des personnes sur lesquelles votre structure possède des données, au cas où celles-ci seraient rendues publiques ou transférées à un tiers, que ce soit suite à un acte malveillant, une négligence ou un problème informatique.
> Tout savoir sur cette étape sur le site de la CNIL
Étape 5 : mettre en place des processus internes
L’un des éléments essentiels de cette évolution en mai prochain consiste à davantage responsabiliser les entreprises sur cette problématique de la gestion des données personnelles et à les rendre autonomes, c’est pourquoi il ne faut pas se contenter d’un simple état des lieux et d’une mise à jour des fichiers. Il faut organiser des processus précis en interne, former les employés ou agents en contact avec les données et s’assurer que ces processus soient strictement respectés afin que la sécurité et le suivi des données soient parfaitement assurés.
> Tout savoir sur cette étape sur le site de la CNIL
Étape 6 : mettre en place des processus internes
L’ensemble des processus et des informations en interne et en externe doit prendre la forme de supports constamment mis à jour et consultables à tout moment. Ainsi par exemple, chaque fois qu’un employé est informé et/ou formé sur sa manière de gérer les données personnelles qu’il manipule, des documents écrits (notes internes, mails, attestations de formations…) facilement accessibles et clairs devront être conservés afin de pouvoir tracer toutes les étapes de la protection des données.
> Tout savoir sur cette étape sur le site de la CNIL
Approfondir
> Le texte complet du nouveau règlement européen sur le site de la CNIL (Commission Nationale Informatique & Liberté)