Depuis 2018, les entreprises doivent tout mettre en œuvre pour assurer la protection des données à caractère personnel des ressortissants européens, conformément au texte RGPD (Règlement Général sur la Protection des Données). En effet, les risques de sécurité ne sont pas moindres et ces nouvelles obligations visent à garantir le respect des citoyens de l’UE. Ainsi, tout organisme public ou privé, est concerné par cette nouvelle Loi Informatique et Libertés s’il opère des traitements de données des personnes concernées. Comment assurer la mise en conformité ?

 

 

Que recommande la CNIL ?

La Commission Nationale de l’Informatique des Libertés est l’autorité de contrôle française de l’application du RGPD. En effet, tous les États membres disposent d’une institution qui s’assure que le nouveau règlement européen est bien appliqué dans les entreprises. La CNIL a émis quelques recommandations qui vont assurer la conformité avec le RGPD :

  • Sensibilisation et authentification des utilisateurs
  • Gestion des habilitations et des incidents
  • Traçage des accès
  • Sécurisation des postes de travail et de l’informatique mobile
  • Sécurisation des serveurs et des sites web
  • Protection du réseau informatique interne
  • Archivage sécurisé
  • Encadrement de la maintenance et de la destruction des données
  • Sauvegarde et prévention de la continuité de l’activité
  • Gestion de la sous-traitance
  • Encadrement des développements informatiques
  • Protection des locaux

 

 

Le principe d’accountability RGPD : démontrer le respect des règles

L’accountability ou littéralement « démontrabilité » regroupe toutes les pratiques destinées à démontrer le respect des règles énoncées par le RGPD. Il permet de voir l’efficacité des mesures techniques et organisationnelles prises par l’entreprise. C’est le responsable de traitement qui est en charge de le mettre en œuvre.

Ce principe a pour objectif de démontrer qu’un organisme a bel et bien mis en place des mesures adéquates pour être en conformité avec le règlement européen. Les acteurs concernés, en l’occurrence le responsable de traitement, les sous-traitants et le DPO doivent fournir une documentation complète sur les informations relatives aux opérations de traitement.

Voici les mesures importantes pour démontrer le respect des nouvelles obligations :

  • Réduire la quantité et les types de données collectées
  • Traiter les données utiles conformément aux objectifs
  • Transparence concernant le traitement des données
  • Sécuriser les mouvements de collecte et de traitement des données
  • Respecter les délais de conservation
  • Pseudonymiser les données
  • Garantir l’exercice des droits des utilisateurs (droit d’accès, droit à la portabilité, droit de rectification, droit à l’oubli, droit à l’effacement des données)
  • Tenir un registre des traitements
  • Encadrer les traitements effectués par les sous-traitants
  • Sensibiliser les acteurs de l’entreprise aux règles du RGPD
  • Évaluer systématiquement le niveau de protection des données

Si une entreprise ne respecte pas ces grands principes, elle est passible de lourdes sanctions. Se renseigner ici sur l’accountability RGPD.

 

 

Nomination d’un délégué à la protection des données

Aussi appelé DPO ou Data Protection Officer, le délégué à la protection des données est le chef d’orchestre dans le lancement des actions pour assurer la sécurisation des données. Son rôle consiste à informer et conseiller les responsables de traitement et les sous-traitants dans la mise en œuvre des mesures de sécurité.

Le DPO peut être nommé au sein de la structure en tant que salarié. Il peut également être un consultant externe à l’entreprise. Dans tous les cas, il faut veiller à ce qu’il n’y ait pas de conflits d’intérêts. Pour assurer sa mission, il doit être briefé sur les différentes mesures déjà prises par l’entité et les acteurs qui traitent les données recueillies. Le DPO garantit une bonne application des mesures de sécurité ainsi que la conformité des opérations de traitement.

 

 

Le DPO peut être nommé au sein de la structure en tant que salarié. Il peut également être un consultant externe à l’entreprise. Dans tous les cas, il faut veiller à ce qu’il n’y ait pas de conflits d’intérêts. Pour assurer sa mission, il doit être briefé sur les différentes mesures déjà prises par l’entité et les acteurs qui traitent les données recueillies. Le DPO garantit une bonne application des mesures de sécurité ainsi que la conformité des opérations de traitement.