RGPD : les 6 étapes obligatoires pour la mise en conformité

Pierre Mangin,

Le RGPD sera placé sous la surveillance de la CNIL qui détient un pouvoir de sanction. Mieux vaut suivre les 6 mesures qu’elle préconise pour documenter leur conformité au nouveau règlement.

Une feuille de route à établir

Au 25 mai, il faut donc être en « posture de mise en conformité », explique Arnaud de Chambourcy, « practise manager’ »au sein de la société de services Umanis.  «Vous avez commencé un état des lieux et établi les grandes actions de remédiation, qui devront figurer sur une feuille de route de mesures menant à la conformité ». Selon lui, il y a trois dimensions à prendre en compte :

1- l’aspect juridique, celui des contrats avec les fournisseurs (responsabilité en cascade), les collaborateurs, les processus.

2 – l’aspect organisationnel, à savoir la gouvernance des données, la nécessité, si l’organisation compte plus de 250 personnes, de créer le poste de DPO (Délégué à la protection des données, nouvelle dénomination du ‘Correspondant informatique’ en France). A défaut, il est possible de déléguer cette mission à un prestataire externe.

3 – la dimension informatique : « C’est la gouvernance au sens de se donner les moyens techniques de respecter le droit des personnes, tel que porté par le règlement : droit d’accès, droit de rectification, droit à l’effacement (ou ‘droit à l’oubli’) ».

A noter que la mise en œuvre de la « purge » des fichiers implique qu’on tienne un registre des traitements : « Le registre décrit la façon dont on expose les données des personnes. Tout doit y être consigné, comme par exemple la date d’échéance des contrats. Toute les actions à mener y sont déclinées en chantiers », précise Arnaud de Chambourcy.

Minimisation et engagement sur la résilience

Des exigences nouvelles se sont ajoutées, qui impliquent la résilience des plateformes utilisées, leur sécurisation permanente face aux risques de fuites, de vol, de ‘hacking’, de corruption ou de modification.

Les mesures prises doivent conduire à un principe-clé, celui de la minimisation des risques.
L’ organisation fait la preuve qu’elle a réellement mis en œuvre des mesures préventives de protection.

En résumé, des mesures concrètes et effectives doivent être prises pour se mettre en conformité au 25 mai 2018. Tout nouveau traitement devra être conforme. Les applications et fichiers déjà existants donnent lieu à des chantiers en cours, qu’il faudra également détailler.

Lisez aussi  : 

RGPD : Les 8 priorités pour être prêt le 25 mai 2018

RGPD : après le 25 mai, quelles actions à moyen et long terme

Credit Photo : SmedersInternet on Visualhunt.comCC BY