RGPD : 4 lettres… pas mieux

Dans une tribune publiée la semaine dernière, Xavier Leclerc, CEO de DPMS revient sur le RGPD en 4 lettres. Ainsi se résument les nouveautés de cette réglementation. Alors voici un ultime rappel pour celles et ceux qui auraient raté les épisodes précédents. Dernier point : c’est le 25 mai que la nouvelle réglementation entre en vigueur !

Résultat de recherche d'images pour "rgpd"

R Comme Registre

Avec la mise en place du RGPD, de nombreuses pratiques des entreprises en matière de protection des données vont être modifiées. L’un des points les plus importants de cette réforme réside dans l’obligation pour chaque entreprise de tenir un registre de traitements des données et ce, même en l’absence d’un DPO. Celui-ci pourra avoir deux niveaux de lecture dans le cas où il serait traité par un sous-traitant, dont le rôle sera de tenir un registre par catégorie de traitements. En parallèle, certaines mesures seront allégées : les responsables ne seront plus contraints de déclarer leurs traitements auprès de la CNIL (hormis pour des autorisations particulières). En résumé, les entreprises devront donc attester de leur conformité grâce à leur registre de traitements qui sera systématiquement réclamé par la CNIL durant les contrôles.

G Comme Gouvernance

Autre enjeu de taille dans cette nouvelle réglementation : la gouvernance, qui désigne ici un ensemble de procédures internes et de bonnes pratiques organisationnelles. Avec l’entrée en vigueur du RGPD, la responsabilisation des entreprises face à la protection des données personnelles sera accrue, et affectera en profondeur leurs process de conception et de traitement. En imposant le respect du « Privacy by Design » (prise en considération de la protection de la vie privée dès la conception) et du « Privacy by Default » (garantie du plus haut niveau de protection possible), le RGPD contraint chaque organisme à prouver qu’un projet, depuis sa conception à son application, a pris en compte le respect et la protection de la vie privée à chaque étape. Les entreprises devront également traiter dans un délai d’un mois, et non plus deux, les demandes de réclamations. Cette nouvelle forme de gouvernance n’est en fait l’expression de la notion d’accountability établie par le RGPD. Si l’entreprise constate une violation de données, elle dispose de pour le notifier à la CNIL. Elle peut également envisager la réalisation d’Etudes d’Impact Vie Privée (ou PIA) pour les traitements dits « sensibles ».

P comme Preuve

Pour prouver facilement leur conformité avec le RGPD, les entreprises vont devoir mettre en place différents process. Plusieurs dispositifs s’ouvrent à eux : par exemple, pour prouver le respect du Privacy by Design, les entreprises peuvent procéder à l’horodatage d’un élément nécessaire à la conception du projet (document portant sur les droits des personnes) ou à la tenue d’un « clausier » contenant toutes les informations sur les sous-traitants afin de prouver facilement la présence de clauses portant sur la protection des données dans les contrats. Avec le passage du RGPD, la preuve est élargie et comprend toutes les notions relatives à la protection des données pour permettre aux entreprises deprouver plus facilement la véracité des informations délivrées aux personnes, la légalité du processus d’obtention des données personnelles sensibles (conscience, consentement libre et éclairé…) et le respect des droits des personnes (en particulier le droit à la vie privée).

D comme DPO

Au cœur de l’inventaire des traitements de l’organisme, fortement recommandé et dans certains cas obligatoires, le DPO (délégué à la protection des données) supervisera et assurera le respect de la conformité de son entreprise au RGPD. Il se verra conférer des missions plus larges que celle de l’actuel CIL. Tout comme le CIL, le DPO n’aura pas d’engagement de responsabilité par principe, sauf en cas de complicité active avec le responsable du traitement ou s’il accomplit mal des tâches en dehors du cadre de ses missions.

Fondateur et Président de l’Union des Data Protection Officer (UDPO), Xavier Leclerc a lancé DPMS en 2016. 

 

Be Sociable, Share!

This entry was posted on lundi, mai 7th, 2018 at 9:00 and is filed under News. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply