Issue du règlement EU de 2016 (1) afin de lutter contre le vol de données sensibles via les réseaux informatiques et internet, la réforme tend à renforcer et à unifier la protection des données pour tous les individus au sein de l'Union européenne.  Toutes les sociétés, petites et moyennes entreprises, artisans, professionnels etc. gérant au moins un fichier clients sont concernés.

#Enjeu n°2 : Etablir un calendrier de mise en conformité

Le calendrier GDPR varie d'une entreprise à l'autre, en fonction principalement de sa taille, de ses moyens, de l'importance de ces fichiers et de son chiffre d'affaires. Plus l'entreprise est grande plus elle doit anticiper les enjeux.

Sachez que les grandes entreprises ont ouvert ce chantier dès 2017, afin d'être en conformité, ce qui représente parfois 18 mois de travail.
Voici un exemple de calendrier à suivre et les actions prioritaires à mener :

Dès aujourd'hui : Désigner le pilote du projet GDPR

Il s'agit de désigner en interne la ou les personnes qui va/vont jouer le rôle de pilote de la politique de sécurité, connaitre le sujet et le règlement européen, connaitre le business de l'entreprise, auditer les acteurs clés de l'entreprise qui vont agir, désigner des tâches à réaliser, tenir et suivre le calendrier et interagir avec les différentes personnes qui vont devoir intervenir dans le projet (service comptabilité, paie, sécurité informatique, etc.).

Ce pilote n'est pas obligatoirement le délégué à la protection des données (DPO) qu'il faut désigner en 2018. Il peut s'agir simplement pour l'instant du Correspondant informatique et libertés (CIL), si vous en avez un. Généralement celui-ci a déjà travaillé sur la Charte internet de l'entreprise et connaît au moins en partie le sujet (2).

Avez-vous pensé aussi à la Charte internet dans votre entreprise ?

Rédiger votre charte Internet

Vous pouvez aussi choisir une autre personne de l'entreprise à même de remplir ce rôle ou faites appel à un expert extérieur.

Enfin, il est important de sensibiliser dès à présent le personnel de l'entreprise - et notamment le DSI directeur des systèmes d'information - qui va être impacté dans son travail par la mise en conformité GDPR, afin qu'il puisse s'organiser et estimer si besoin les recrutements nécessaires (voir également avec le service des Ressources humaines).

Après audit : Identifier les traitements de données personnelles

Le Pilote doit recenser de façon précise tous les traitements de données personnelles afin de :

  • dresser un Etat des lieux des moyens techniques et organisationnels déjà mis en place au sein de l'entreprise ;
  • identifier les données traitées et stockées, leur degré d'impact ;
  • déterminer le risque qu'elles représentent sur la vie privée et à quel moment il est possible de les détruire ou pirater ;
  • évaluer la maîtrise que vous avez sur ces données.

Il est conseillé d'utiliser un Registre des traitements : voici un modèle gratuit de registre proposé par la CNIL française. 
Aussi penser à informer les collaborateurs qui travaillent sur ou avec ces fichiers, qu'ils auront des actions à mener à partir du mois de février.

Dispatcher les actions à mener et fixer une limite

Sur la base du registre, il convient d'identifier les actions à mener et de les prioriser au regard des risques que font peser ces traitements sur les droits et les libertés des personnes concernées (Risque Elevé - Risque Moyen - Risque Faible). Commencer par les risques élevés, sans négliger les autres dès lors que la masse de travail est importante et devra être répartie sur plusieurs mois. Ensuite, dispatcher dans les équipes, les actions correctrices à mettre en oeuvre (interne à l'entreprise, sous-traitant, site web, mentions obligatoires, etc.).

Organiser et suivre les travaux

L'objectif est d'assurer un haut niveau de protection des données personnelles en permanence en agissant à titre préventif :

  • prévenir les failles de sécurité (mise à jour des logiciels de protection, installation de pare-feu, audit etc.) ;
  • gérer les demande de rectification ou d'accès (service responsable, modalités d'exercice et de traitement des demandes, suivi) ;
  • gérer les modifications des données collectées ;
  • gérer le changement de prestataire ;
  • mettre en place le process à suivre en cas de violation de données (désignation de la personne déférente, utilisation du formulaire de relevé d'incident, etc.)

Vérifier que toutes les actions ont été menées

Commencer par reprendre une à une les actions priorisées, afin de vérifier qu'elles ont été été menées ou bien qu'elles le seront au plus tard début mai. Si ce n'est pas le cas, s'assurer qu'elles le seront le plus rapidement possible.

Au plus tard en juin 2018 : Tenir des répertoires d'activités liés au traitement des données

En cas de contrôle, il faudra prouver votre conformité au Règlement européen GDPR. Il est recommandé de constituer un dossier qui contient :

  • la documentation nécessaire sur vos traitements de données personnelles ;
  • le registre des traitements ;
  • les analyses d'impact sur la protection des données ;
  • l'encadrement des transferts de données hors Union européenne ;
  • les actions et documents réalisés à chaque étape ;
  • les modalités d'information des personnes (mentions d'information, modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l'exercice des droits) ;
  • les contrats qui définissent les rôles et les responsabilités des acteurs (sous-traitants - exemple de clause de sous-traitance, procédures internes en cas de violation des données, preuves que les personnes concernées ont donné leur consentement lors du traitement de leurs données) ;
  • le calendrier de l'actualisation à mener chaque année pour assurer une protection des données en continu.

Tous les #enjeux GDPR 2018

Sources :
(1) Règlement (n°2016/679) du 27 avril 2016 - Règlement général sur la protection des données (en anglais - General Data Protection Regulation -GDPR) qui remplace la Directive sur la protection des données personnelles adoptée en 1995
(2) 
CNIL, Règlement européen sur la protection des données : ce qui change pour les professionnels