Implémenter pas à pas le Règlement Général pour la Protection des Données (RGPD)

Les modalités pratiques de la mise en place de la RGPD dans les entreprises

Un nouveau Règlement de Protection des Données Personnelles entre en vigueur en mai 2018.

Le RGPD concerne toute entreprise – start-up, PME, comme grands groupes – qui traite des données personnelles de citoyens européens. La mise en conformité est un impératif non discutable, au risque de payer jusqu’à 20 Mi € ou 4% du chiffre d’affaires annuel d’amende.

Nombreuses équipes à mobiliser, budget important à affecter, revue des processus internes à réaliser… A la lecture du site internet de la CNIL, le travail à accomplir semble immense.

Au-delà des préconisations de la CNIL, comment travailler efficacement et de façon pragmatique pour être prêt le jour J à moindres frais ?

Une cartographie efficace de vos traitements

Comment se conformer efficacement au RGPD ? Comme dans tout projet, la phase de cartographie est primordiale : elle permet de faire une « photo » à l’instant t de vos traitements de données personnelles. Le législateur s’attend à voir des processus segmentés selon le type de traitement appliqué.

Nous vous proposons pour ce faire une approche en 3 étapes :

  • Tout d’abord, énumérez les finalités, c’est-à-dire les objectifs, pour lesquels vous traitez des données personnelles.
  • Ensuite, listez pour chaque finalité les données à caractère personnel dans votre organisation. Les supports peuvent être variés : données papier, stockées en dur, sur un SI propriétaire, ou encore via un logiciel SaaS.
  • Enfin recensez les actions réalisées sur ces données : collecte, archivage, recoupement, anonymisation, diffusion à des tiers ? A chaque action correspond un traitement.

Un examen de vos traitements en 21 points de contrôle

Une fois votre cartographie réalisée, vous devrez examiner la licéité eu égard à la loi et les situations « à risques » ou non dans le cadre de vos traitements.

12 points de contrôle permettent d’abord de vérifier la licéité de vos traitements :

  1. Finalité : La finalité doit être déterminée, explicite et légitime
  2. Minimisation : Les données traitées doivent être réduites au strict nécessaire par rapport à la finalité du traitement
  3. Qualité :La qualité des données doit être préservée. Elles doivent être « exactes, complètes et, si nécessaire, mises à jour »
  4. Durées de conservation : Les données doivent être conservées uniquement le temps nécessaire à l’accomplissement des finalités, à défaut d’une autre obligation légale imposant une conservation plus longue
  5. Information : Mentions d’information, clauses de confidentialité, conditions générales des personnes concernées conformes au règlement RGPD
  6. Consentement : Le consentement des personnes concernées pour la réalisation du traitement doit être obtenu, à moins de l’existence d’un autre fondement légal justifiant le traitement
  7. Droit d’opposition : Le droit d’opposition des personnes concernées doit être respecté
  8. Droit d’accès :Le droit des personnes concernées d’accéder à leurs données doit être respecté
  9. Droit de rectification : Le droit des personnes concernées de corriger leurs données et de les effacer doit être respecté
  10. Droit à la portabilité : Le droit de transmettre les données personnelles fournies par la personne, et traitées sur la base de son consentement ou de l’exécution d’un contrat « dans un format structuré, courant et lisible »
  11. Transferts : Les obligations en matière de transfert de données en dehors de l’Union Européenne doivent être respectées
  12. Sous-traitance : Vérification que les sous-traitants impliqués dans les traitements de DCP connaissent leurs nouvelles obligations et leurs responsabilités

Puis 9 autres points de contrôle permettent de vérifier si vos traitements sont à risques.

Si le traitement vérifie au moins 2 des points ci-dessous, il est alors considéré par les autorités comme « à risque » :

  • Evaluation ou notation
  • Décision automatisée avec effet juridique ou effet similaire significatif
  • Données sensibles ou données à caractère hautement personnel
  • Surveillance systématique
  • Données personnelles traitées à grande échelle
  • Croisement d’ensembles de données
  • Données concernant des personnes vulnérables
  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles
  • Exclusion du bénéfice d’un droit, d’un service ou contrat

Conduisez vos PIA (Privacy Impact Assessment)

Pour vos traitements « à risque », il est alors nécessaire de réaliser un PIA, qui consiste en un dossier qui s’articule en 3 parties :

  • Etude du contexte
  • Etude des mesures de nature juridique et traitant les risques
  • Etudes des risques

Si vous avez correctement renseigné lors des étapes précédentes les registres de traitement et vérifié les points de contrôle, vous avez déjà réalisé la première partie du travail. La seconde partie consiste à étudier les risques associés au traitement, tant logiques que physiques, ainsi que les mesures pour y faire face.

Définissez vos process interne de protection des données grâce à une méthodologie SIPOC et documentez !

Cette partie du projet de mise en conformité est souvent – à tort – sous-estimée en termes de quantité de travail. Il s’agit non moins que de formaliser et mettre en place de nouveaux processus internes liés aux traitements de données personnelles.

4 processus internes doivent être documentés pour se conformer à la règlementation :

  • Processus de création de traitements ou applications
  • Processus de sensibilisation des collaborateurs et de remontée d’information
  • Processus de traitement des droits des personnes
  • Processus de gestion des crises en cas de violation de données

L’application d’une méthodologie SIPOC (Supplier Input Process Output Customer), déployée avec succès dans le cadre de nos missions d’optimisation des processus dans l’Industrie, permet de décrire facilement en 1ère étape un processus interne.

Cet outil permet de décrire de façon synthétique le processus, les entrées/sorties associées, et les clients/fournisseurs associés.

En cas de processus complexe, nous recommandons la réalisation d’une cartographie VSM. Cette méthodologie consiste à découper le processus en tâches distinctes, avec pour chacune des tâches des données d’entrée/sortie, un responsable clairement identifié, une action, des outils associés, des risques, et des indicateurs dédiés ou KPI.

La documentation adéquate du projet est indispensable en cas de contrôle.

Nous vous conseillons de monter le dossier en 3 sous-parties :

  1. Traitements des données personnelles :Votre cartographie de traitement, vos registres, ainsi que les PIA, et l’encadrement des transferts hors UE.
  2. Information des personnes : Les mentions d’information, les modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l’exercice des droits des personnes.
  3. Rôles et les responsabilités des acteurs : Les contrats avec les sous-traitants, les procédures internes en cas de violations de données, les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Pensez la mise en conformité au RGPD comme une démarche d’amélioration continue de votre organisation en la matière de traitement de données.

Adoptez une méthode Agile dans la conduite de votre projet, en privilégiant les boucles incrémentales plutôt que de vouloir regarder chaque point de détail. Vous y gagnerez en rapidité d’exécution.

Etablissez enfin un plan d’action avec une roadmap clairement identifiée pour donner de la visibilité aux autorités de contrôle.

En synthèse, le projet de mise en conformité au Règlement général sur la protection des données 2018 est sans conteste un chantier important pour votre entreprise. Mais traité comme tout projet de façon méthodique et pragmatique, avec un bon niveau d’analyse, il n’a rien d’insurmontable.

L’expertise d’IAC dans la gestion de projets peut vous apporter les éléments nécessaires à la mise en conformité de vos outils et process. Profitez de notre expérience et compétences pour être en conformité dès aujourd’hui avec la RGPD

Des résultats tangibles à chaque mission