Même si son application n’interviendra que le 25 mai 2018, le nouveau règlement à l’échelle européenne qui vise à «renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation» implique un certain nombre de changements pour les professionnels au sujet de la protection des données et il est conseillé de les anticiper.
La CNIL présente ces préparatifs en six points et prévient d’emblée que de «nombreuses formalités» auprès d’elle vont disparaître, mais que l’autonomie et la responsabilisation des entreprises seront renforcées et que des contrôles seront opérés, avec d’éventuelles sanctions à la clé.
Nommer et former un «délégué à la protection des données»
Même si ce n’est pas obligatoire, les entreprises ayant à traiter des données personnelles à grande échelle et en particulier sur des thèmes sensibles, auront tout intérêt à désigner un délégué à la protection des données, présenté comme un «atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux».
Identifier et suivre précisément vos données
Anticiper, c’est par exemple commencer dès maintenant à faire le point sur le type de données gérées par votre entreprise et à relever leur traitement, leur utilisation, leurs flux, leur éventuelle utilisation par des sous-traitants : ceci doit prendre la forme d’un registre, dont vous pourrez trouver des modèles sur le site de la CNIL. Une fois cette étape franchie, une étude approfondie des données collectées devra être effectuée en interne : pertinence des éléments collectés, base juridique du traitement, vérification des mentions d’information, information des nouvelles obligations aux sous-traitants… A partir de cette étude, il conviendra ensuite d’identifier, d’anticiper et de prévenir les risques potentiels pour tout futur traitement, dans le cadre notamment du PIA (Analyse d’Impact sur la Protection des Données).
Mettre en place des procédures internes
Une fois que votre «délégué à la protection des données personnelles» est nommé et formé, il sera important d’organiser des réunions d’information internes afin de sensibiliser l’ensemble des collaborateurs amenés à traiter des données et de fixer des règles et procédures systématiques décidées en interne pour répondre à toutes les nouvelles obligations légales. L’ensemble des supports utilisés et des procédures mises en place constituera une documentation à conserver rigoureusement et à tenir à disposition à tout moment.
Détecnet proactif dans les obligations liées à la CNIL :
– Notre activité nous impose de travailler aux côté d’un Correspondant Informatique & Libertés
– Notre traitement des données est déclaré à la CNIL sous le n°305824
– Détecnet a mis en place des règles et procédures internes strictes quant au traitement des données, qui sont formalisées dans nos chartes (informatique & déontologie)
Approfondir
Le texte complet sur le site de la CNIL (Commission Nationale Informatique & Liberté)