PATRICE RANSON CONSULTING
Mise en place du RGPD au sein des entreprises, depuis le 25 Mai 2018
Patrice RANSON CONSULTING
vous propose un AUDIT
La législation
La loi informatique et libertés impose des obligations aux utilisateurs de données personnelles : clients, prospects, salariés.
Alors, vous êtes concerné par le Règlement général sur la protection des données(RGPD).
Vous devez mettre en place un dispositif à dater du 25 mai 2018.
Qui est concerné ?
Article 5
I. - Sont soumis à la présente loi les traitements de données à caractère personnel :
1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ;
2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.
II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.
Quand suis-je en présence de données personnelles ?
Article 2
Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Qu’est-ce qui constitue le traitement des données ?
Article 2
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Dans quel cadre la loi s’exerce-t-elle ?
Article 2
La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles.
Qui est responsable ?
Article 3
Le responsable d’un traitement de données à caractère personnel est la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.
L'application
6 Etapes pour bien aborder les RGPD
1 - DÉSIGNER UN PILOTE
Pour piloter le contrôle des données personnelles, vous avez besoin d'un pilote qui exerce une mission d’information, de conseil et de contrôle en interne : vous devez désigner un délégué à la protection des données (DPO)
Il aura pour rôle :
- D’informer et de conseiller le responsable du traitement des données
- De contrôler le respect des RGPD
- De conseiller l’organisme sur la réalisation et de contrôler l’exécution
- De coopérer avec l’autorité de contrôle
2 – CARTOGRAPHIER
Recenser de façon précise les traitements de données personnelles que vous mettez en œuvre. La tenue d'un registre des traitements vous permettra de faire le point
Cela vous permettra de mesurer l’impact des RGPD :
- Les différents traitements
- Les catégories
- Les objectifs
- Les acteurs
- Les flux d’origine
Vous devez répondre aux questions suivantes :
- Qui
- Quoi
- Pourquoi
- Où
- Jusqu’à quand
- Comment
3 – PRIORISER
Identifiez les actions à mener pour vous conformer aux obligations des RGPD. Priorisez ces actions au regard des risques qui mettent en cause vos traitements sur les droits et les libertés des personnes concernées.
- Ne garder que les données strictement nécessaires
- Répertorier la base juridique du traitement de vos données
- Conformer vos mentions d’information à la législation
- Vérifier que vos sous-traitants connaissent leurs responsabilités et obligations.
- Etablir des modalités d’exercice des droits des personnes
- Vérifier les mesures de sécurité
4 - GÉRER LES RISQUES
Dans le cas ou vous traitez des données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez, pour chacun de ces traitements, analyser l'impact sur la protection des données.
- Principes et droits fondamentaux fixés par la loi
- Gérer les risques pour la vie privées des personnes concernées.
5 – ORGANISER
Pour un haut niveau de protection des données personnelles quotidien, vous devez mettre en place des procédures internes qui garantissent la protection des données à tout moment.
- Prendre en compte la protection des données dès leurs conceptions
- Organiser la remontée d’information
- Traiter les demandes des personnes dans l’exercice de leurs droits
- Anticiper la violation des données
6 – DOCUMENTER
Constituer et regrouper la documentation afin de prouver votre conformité.
Documentation :
- Posséder un registre des traitements
- Analyser l’impact sur la protection des données
- Encadrer le transfert des données.
Information :
- Mentions d’information
- Recueil du consentement des personnes
- Mise en place de procédures d’exercice de droits
Contrats, rôle et responsabilité :
- Contrats des sous-traitants
- Procédures internes
- Consentement des personnes
Version imprimable 