Categories: Sécurité

RGPD : les 6 étapes obligatoires pour la mise en conformité

Want create site? Find Free WordPress Themes and plugins.

Pour se mettre en conformité avec le règlement RGPD (Règlement Général sur la Protection de Données personnelles), il est opportun de commencer par examiner les recommandations de l’autorité de tutelle, la CNIL. Elle détient, plus que jamais, le pouvoir de sanctionner et d’infliger de lourdes amendes (cf. volet1).

Le principe d’accountability ou responsabilité étendue

Néanmoins, Il faut noter que de nombreuses formalités auprès de la CNIL disparaissent. En contrepartie, la « responsabilité des organismes » est renforcée. C’est le principe anglo-saxon d’accountability ou responsabilité étendue, qui est souligné par la nomination d’un délégué, le DPO (Lire notre article ) et par la nécessaire information et sensibilisation de tous dans l’entreprise.

« Fini les déclarations », comme nous le résume Olivier Itéanu, avocat spécialisé, « mais je dois être conforme et détenir les documents justificatifs ». Et le maintien en condition opérationnel et sécurisé des applications constitue une exigence nouvelle.

Les 6 étapes recommandées par la CNIL

La CNIL souligne que « les entreprises devront assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité ».

Voici, en résumé, les 6 étapes recommandées par la haute autorité :

1 -Désigner un « pilote » pour la gouvernance des données personnelles. C’est un « véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne » : le DPO, délégué à la protection des données est le prolongement du « correspondant informatique et libertés », chargé d’organiser les actions à mener.

2 – Cartographier les traitements de données personnelles. Il s’agit de « mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez ». Il faut commencer par « recenser de façon précise les traitements de données personnelles. Il est recommandé de constituer un « registre des traitements ».

Commentaire d’Alain Bensoussan, avocat spécialisé  : « La cartographie exigée n’est pas réellement « techno » ; elle doit être légale ; elle concerne les traitements – moyens et finalités – et non les applications ».

3 – Prioriser les étapes à mener : sur la base du « registre de traitements », il faut identifier les actions à mener pour être conforme aux obligations actuelles et à venir. Cette priorisation s’établit « au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées ».

4- Gérer les risques et lancer une étude d’impact : pour chacun des traitements de données personnelles « identifiés comme susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées », il faut mener une analyse d’impact sur la protection des données (PIA).

5 – Organiser les procédures internes : « Pour assurer un haut niveau de protection des données personnelles en permanence », il faut mettre en place « des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accés, modification des données collectées, changement de prestataire) ».

6- Documenter la conformité : pour prouver la conformité au règlement, il faut « constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu ».

Continuez Page 2 : Etablir votre feuille de route

Did you find apk for android? You can find new Free Android Games and apps.

Page: 1 2

Recent Posts

Droit à l’oubli : le mode d’emploi du Conseil d’Etat

Créé en 2014 par la Cour de justice de l'Union européenne (CJUE), le "droit au déréférencement" ou "droit à l'oubli"…

2 jours ago

Cybersécurité : Tenable croque Indegy

Pour 78 millions $, Tenable s'offre Indegy, un spécialiste de la sécurité des systèmes de production industriels.

2 jours ago

Wi-Fi 6 : la barre des 700 Mbps/s a été franchie

La Wireless Broadband Alliance a confirmé la réussite de son essai de phase 1 de l'infrastructure et des services Wi-Fi…

2 jours ago

Open Source : des développeurs toujours plus impliqués

6 développeurs sur 10 ont renforcé leur implication dans l'open source en 2019. L'optimisme prévaut, malgré les doutes sur l'avenir,…

2 jours ago

Libra : l’UE recale encore la crypto-monnaie de Facebook

L'UE ferme la porte à l'utilisation des "stable coins", dont Libra, dans les pays de l'Union. Dans le même temps,…

2 jours ago

Microsoft 365 : bientôt une marque grand public ?

L'extension de la marque Microsoft 365 au grand public pourrait intervenir au printemps 2020.

2 jours ago