Objectifs:-Renforcer les droits des personnes
-Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants)
Vous devez donc:
1- Désigner un délégué à la protection des données,
-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-
2-Cartographier vos traitements:
Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :
Les différents traitements de données personnelles,
Les catégories de données personnelles traitées ;
Les objectifs poursuivis par les opérations de traitements de données ;
Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne.
Pour chaque traitement de données personnelles, posez-vous les questions suivantes :
Qui ?
Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
Etablissez la liste des sous-traitants.
Quoi ?
Identifiez les catégories de données traitées
Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)
Pourquoi ?
Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).
Où ?
Déterminez le lieu où les données sont hébergées.
Indiquez quels pays les données sont éventuellement transférées.
Jusqu’à quand ?
Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.
Comment ?
Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.
- Télécharger ici le Modèle de registre règlement européen (Excel)
- Télécharger ici un exemple de fiche de registre CIL
-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-
3-Prioriser les actions à mener par rapport aux risques qui pèsent sur les données que vous traitez et la violation des données personnelles.
Points d’attention quels que soient vos traitements:
- Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
- Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale)
- Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du règlement)
- Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
- Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)
- Vérifiez les mesures de sécurité mises en place.
Points d’attention nécessitant une vigilance particulière:
- Consentement renforcé et transparence:
Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.
L’expression du consentement est définie : les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.
Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
- Vous traitez certains types de données:
- des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
- des données concernant la santé ou l’orientation sexuelle,
- des données génétiques ou biométriques,
- des données d’infraction ou de condamnation pénale,
- des données concernant des mineurs.
Votre traitement a pour objet ou pour effet:
- la surveillance systématique à grande échelle d'une zone accessible au public ;
- l'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative.
Vous transférez des données hors de l'Union européenne:
- vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne ;
- dans le cas contraire, encadrez vos transferts.
- Télécharger ici le guide sécurité des données personnelles
- Télécharger ici le guide du sous-traitant
-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-
4-Gérer les risques: pour chacun des traitements identifiés comme risque élevé, vous devez mener une analyse d'impact sur la protection des données (PIA),
Il repose sur 2 piliers :
-les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
-la gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.
Un PIA contient :
-Une description du traitement étudié et de ses finalités.
-Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
-Une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.
-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-
5-Organiser les processus internes: vous devez mettre en place des procédures internes garantissant la prise en compte de l'ensemble des événements qui peuvent survenir lors d'un processus de traitement de données: faille de sécurité, gestion des accès aux données, gestion des modifications, des suppressions, modification de la procédure d'acquisition des données, changement de logiciel, droit à la portabilité des données...),
Organiser les processus implique notamment :
- de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données;
- de sensibiliser et d'organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
- de traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement, droit à l'effacement) en définissant les acteurs et les modalités (l'exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
- d'anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
- Télécharger ici le Formulaire de notification de violation de données personnelles
- Visualiser ici la notification de violation de données
-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-
6-Documenter la conformité: vous devez établir une documentation ainsi que les actions d'actualisation régulières pour assurer votre conformité et une protection en continu.
La documentation sur vos traitements de données personnelles:
- Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
- Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes
- L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)
L'information des personnes:
- Les mentions d’information
- Les modèles de recueil du consentement des personnes concernées,
- Les procédures mises en place pour l'exercice des droits
Les contrats qui définissent les rôles et les responsabilités des acteurs:
- Les contrats avec les sous-traitants
- Les procédures internes en cas de violations de données
- Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-
7-Pour terminer et en complément, des pistes à explorer également pour protéger et sécuriser vos données:
- Le patch management : gestion des correctifs et des mises à jour automatiques de votre parc informatique.
- Antivirus: protection efficace des données (virus, ransomwares...).
- Chiffrement des données.
- Sauvegardes: sécurisez vos données.
-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-
Liens utiles et rappels:
CNIL: ce qui change pour les professionnels
CNIL: Règlement européen sur la protection des données personnelles se préparer en 6 étapes