Mise en conformité RGPD
Depuis 2018, le RGPD impose les entreprises et organisations à adopter une démarche active de protection des données. La mise en conformité RGPD à Lille, comme partout ailleurs, passe par des mesures organisationnelles, structurelles et techniques.
Alors que, dans certaines entreprises, la mise en conformité RGPD est considérée très sérieusement, dans d’autres, elle s’effectue parfois de manière réactive, suite à une plainte d’un client ou un contrôle de la CNIL par exemple.
Bien plus qu’une simple formalité administrative, le RGPD peut conditionner la survie de certains projets, voire de l’entreprise dans son ensemble. Les exemples de sanctions prises à l’égard d’entreprises et d’organisations ayant fait défaut de conformité se multiplient, d’où l’intérêt d’agir rapidement, avec méthode.
LES MESURES ORGANISATIONNELLES DE MISE EN CONFORMITE RGPD A LILLE
Ces mesures organisationnelles passent essentiellement par :
-
La désignation d’un délégué à la protection des données
Cette désignation peut, selon les cas, être obligatoire ou facultative. Par exemple, elle est obligatoire lorsque « ». D’autres cas de figure existent, par rapport à la désignation d’un délégué à la protection des données. Pour vérifier la situation de votre organisation, n’hésitez pas à nous contacter.
-
La définition de la fonction du délégué à la protection des données (DPO), qui porte sur le statut de la personne désignée, son activité au regard du droit du travail, sa responsabilité et ses missions.
-
La collaboration entre le DPO et :
-
Son ou ses sous-traitants. Cette relation prend une nature contractuelle. Le contrat qui unit les différentes parties a été renforcé par le RGPD.
-
Les personnes concernées par la protection des données
-
La CNIL (Commission Nationale Informatique et Libertés), qui agit comme une autorité de contrôle
-
Il faut savoir qu’une organisation, quelle qu’elle soit, doit pouvoir prouver la conformité du traitement des données à la réglementation et, par ce fait, suivre des codes de conduite et les certifications encouragés par le RGPD.
Les certifications permettent de prouver la démarche de mise en conformité RGPD à Lille de la part du responsable du traitement. Elle est délivrée par un organisme de certification agréé par la CNIL et/ou l’organisme d’accréditation compétent.
Au titre de l’article 40.1 du RGPD, les codes de bonne conduite sont élaborés en vue de « contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques, des micro, petites et moyennes entreprises ».
LES MESURES STRUCTURELLES DE MISE EN CONFORMITE RGPD A LILLE
Les principales mesures structurelles de mise en conformité RGPD à Lille touchent :
-
À la création d’un registre de traitement des données. Il s’agit d’un document qui vise à recenser les traitements des données personnelles. Ce registre doit être tenu par une personne spécifiquement désignée. Il est obligatoire, sauf pour les entreprises et organisations de moins de 250 salariés, sauf si le traitement des données est susceptible de comporter un risque pour les droits et libertés des personnes concernées. Les traitements de toute l'entreprise doivent être décrits, qu'ils servent par exemple dans le cadre de l'IT, du marketing, de la finance, des analyses... Dès qu'il traite des données personnelles, un traitement doit être répertorié et décrit.
-
À l’identification des données traitées, par le biais :
-
Du recensement des données personnelles traitées
-
De l’identification du nombre de données traitées
-
De l’identification des personnes ayant accès aux données
-
De la définition de la durée de conservation des données
-
De l’identification des finalités du traitement des données
-
De l’identification du fondement juridique du traitement des données
-
-
À la réalisation d’une étude d’impact, imposé au titre de l’article 35 du RGPD
-
À l’élaboration de procédures internes
LES MESURES TECHNIQUES DE MISE EN CONFORMITE RGPD A LILLE
L’agence nationale de la sécurité des systèmes d’information (ANSSI) définit la sécurité des données ainsi : « l’ensemble des mesures techniques et non techniques de protection permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ce système offre et qui rend accessible ».
C’est au responsable du traitement des données et aux sous-traitants de mettre en œuvre les mesures techniques qui s’imposent, pour garantir le niveau de sécurité adaptée aux risques. La sécurisation des locaux, des postes de travail, du réseau local, des données sauvegardées fait partie des responsabilités attribuées à ces personnes.