Le 25 mai se profile et de nombreuses entreprises tentent de se conformer au RGPD. Pour répondre aux exigences de cette nouvelle réglementation, le travail s’annonce important et surtout complexe. Le présent article résume en 4 lettres les nouveautés apportées par le RGPD, pour éclairer tous ceux qui sont en pleine restructuration de leur service.

R comme Registre

Avec la mise en place du RGPD, de nombreuses pratiques des entreprises en matière de protection des données vont être modifiées. L’un des points les plus importants de cette réforme réside dans l’obligation pour chaque entreprise de tenir un registre de traitements des données et ce, même en l’absence d’un DPO. Celui-ci pourra avoir deux niveaux de lecture dans le cas où il serait traité par un sous-traitant, dont le rôle sera de tenir un registre par catégorie de traitements. En parallèle, certaines mesures seront allégées : les responsables ne seront plus contraints de déclarer leurs traitements auprès de la CNIL (hormis pour des autorisations particulières). En résumé, les entreprises devront donc attester de leur conformité grâce à leur registre de traitements qui sera systématiquement réclamé par la CNIL durant les contrôles.

G comme Gouvernance

Autre enjeu de taille dans cette nouvelle réglementation : la gouvernance, qui désigne ici un ensemble de procédures internes et de bonnes pratiques organisationnelles. Avec l’entrée en vigueur du RGPD, la responsabilisation des entreprises face à la protection des données personnelles sera accrue, et affectera en profondeur leurs process de conception et de traitement. En imposant le respect du « Privacy by Design » (prise en considération de la protection de la vie privée dès la conception) et du « Privacy by Default » (garantie du plus haut niveau de protection possible), le RGPD contraint chaque organisme à prouver qu’un projet, depuis sa conception à son application, a pris en compte le respect et la protection de la vie privée à chaque étape. Les entreprises devront également traiter dans un délai d’un mois, et non plus deux, les demandes de réclamations. Cette nouvelle forme de gouvernance n’est en fait l’expression de la notion d’accountability établie par le RGPD. Si l’entreprise constate une violation de données, elle dispose de pour le notifier à la CNIL. Elle peut également envisager la réalisation d’Etudes d’Impact Vie Privée (ou PIA) pour les traitements dits « sensibles ».

P comme Preuve

Pour prouver facilement leur conformité avec le RGPD, les entreprises vont devoir mettre en place différents process. Plusieurs dispositifs s’ouvrent à eux : par exemple, pour prouver le respect du Privacy by Design, les entreprises peuvent procéder à l’horodatage d’un élément nécessaire à la conception du projet (document portant sur les droits des personnes) ou à la tenue d’un « clausier » contenant toutes les informations sur les sous-traitants afin de prouver facilement la présence de clauses portant sur la protection des données dans les contrats. Avec le passage du RGPD, la preuve est élargie et comprend toutes les notions relatives à la protection des données pour permettre aux entreprises de prouver plus facilement la véracité des informations délivrées aux personnes, la légalité du processus d’obtention des données personnelles sensibles (conscience, consentement libre et éclairé…) et le respect des droits des personnes (en particulier le droit à la vie privée).

D comme DPO

Au cœur de l’inventaire des traitements de l’organisme, fortement recommandé et dans certains cas obligatoires, le DPO (délégué à la protection des données) supervisera et assurera le respect de la conformité de son entreprise au RGPD. Il se verra conférer des missions plus larges que celle de l’actuel CIL. Tout comme le CIL, le DPO n’aura pas d’engagement de responsabilité par principe, sauf en cas de complicité active avec le responsable du traitement ou s’il accomplit mal des tâches en dehors du cadre de ses missions.

_________
Xavier Leclerc est CEO de DPMS