16. févr., 2018

GDPR J-99 : Vos priorités pour être conforme

La date fatidique du 25 Mai 2018 approche. Pour les entreprises qui n'auraient pas encore entrepris la mise en place de la réglementation européenne, quels sont les axes prioritaires à privilégier ?

1- Nommer un Data Protection Officer

Ou faire appel à un DPO externalisé. Le DPO est le contact unique et privilégié avec l'organisme de contrôle la CNPD. Il doit être indépendant vis à vis du responsable des traitements. Majoritairement les DPO sont juristes. Ils ont un rôle de conseil, de formation et défendent les intérêts du responsable des traitements. Si vous faites le choix d'un DPO externe à votre entreprise, veuillez à bien cadrer sa mission. La CNPD vérifie les qualités des DPO.Vous trouverez une liste à jour des DPO sur son site internet .

 

 

2 - Identifier tous les traitements avec des données à caractère personnel et sensible et les consigner dans un registre.

La CNPD vous propose un modèle de registre qui peut convenir pour les TPE/ artisans mais les autres entreprises devront l'étoffer avec des informations complémentaires surtout si les données sont transférées dans un pays hors Union Européenne. Pour les données sensibles, leur criticité doit être évaluée. Avec le registre des traitements vous devez démontrer que vous avez la maitrise des données sensibles et à caractère personnel.

 

3 - Sécuriser les données,

C'est impératif. Vos clients, collaborateurs vous confient leurs données personnelles et sensibles. Vous en êtes responsable et vous devez vous assurer qu'elles sont bien protégées. Immédiatement nous pensons à la violation informatique. Beaucoup d'entreprises ont encore des documents papier rangés dans des armoires ou laissés sur les bureaux le temps de leur traitement. Avec GDPR c'est terminé. Les dossiers doivent être rangés et ceux contenant des données sensibles enfermés à clé dans des armoires.

 

4- Ne vous emballez pas dans l'achat d'un outil ! Pour le moment ce n'est pas le plus urgent. Excel fera très bien l'affaire. D'ailleurs le modèle de registre de traitement de la CNPD est sous ce format.

 

5- Faire appel à ses homologues ou à un consultant. 

Avec GDPR beaucoup de questions viennent à l'esprit et l'une d'entre elle est "Quelle est la limite ? Jusqu'où devons nous aller ?". D'autre part, comment savoir si l'on est dans la bonne direction ? Alors pourquoi ne pas se renseigner auprés d'un DPO ou d'un Responsable de traitements qui est dans une entreprise similaire à la votre ? Vous pouvez faire appel également à un consultant qui a déjà une première expérience dans ce domaine.

Ce n'est que le début, la réglementation est beaucoup plus exigente :

  • Droits des personnes concernées
  • Data Protection Impact Assessment ou gestion des risques
  • Data Breach Management....

Par expérience, je peux vous dire que le délai approximatif pour la mise en place de cette réglementation dans une entreprise de taille moyenne est d'un an (Développements informatiques compris).

Vous souhaitez connaitre votre niveau de conformité par rapport à la réglementation ?

 La CNPD met à disposition gratuitement son outil "GDPR Compliance Tool"