Qu'est-ce que le RGPD ?
Le RGPD est le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Régulation (GDPR). Cette législation obligatoire depuis le 25 Mai 2018 s’applique de la même manière dans les entreprises de l’Union Européenne, collectivités et associations.
Elle induit un changement radical du régime de la protection des données et s’appuie sur une logique de conformité, dont les acteurs engagent leur responsabilité, sous le contrôle et avec l’accompagnement de la CNIL :
-
- Cela entraine des formalités préalables mais une obligation de documenter le respect du règlement.
- C’est un formalisme interne, une logique d’Auto-contrôle et de documentation.
La mise en conformité impose aux établissements privés et organisations publiques d’être en mesure de prouver à tout moment qu’ils ont pris les mesures techniques, organisationnelles et juridiques nécessaires
La notion de consentement est prépondérante et doit être démontrée de manière explicite. Cela suppose que les entreprises responsables de ces traitements des données devront mettre en place des solutions de traçabilité en plus de modalités d’information sur les droits des personnes : droit d’accès, droit à l’oubli, droit à la portabilité, droit d’opposition.
Le règlement est applicable uniquement aux individus et non aux personnes morales.
Quelles sont les exigences du RGPD ?
Le consultant ACTeam Conseil assiste à la nomination du DPO sur le site de la CNIL.
- Les registres sont construits à partir du modèle de la société externe qui est intervenue.
- Ces registres doivent être complétés et tenus à jour.
- Le registre pourra ensuite être intégré dans une base privée (par exemple, un espace intranet sécurisé).
- Sur la base d’un inventaire des prestataires, le DPO qualifie les sous-traitants pour les données personnelles. La démarche de conformité de ces sous-traitants passe par un courrier de demande de preuve de conformité associé à un questionnaire d’évaluation juridiquement opposable, la lecture des paragraphes RGPD des contrats, la proposition d’adaptation de ces contrats avec une clause RGPD, l’ajout de description des traitements et d’instructions dans les clauses. Ces documents sont intégrés dans une base privée.
- Un paragraphe RGPD est proposé pour les consultations et les appels d’offres.
- Information des personnes externes : le DPO met en place une politique de confidentialité adaptée aux activités de l’établissement concerné. Cette politique sera visible sur Internet et servira de cadre référent pour les mentions individuelles. Un inventaire des actions de collecte (formulaire papier, en ligne…) et écriture des mentions d’informations sera effectué par le DPO. Pour les données collectées avant ces démarches (fichiers anciens), il sera proposé un envoi de courrier d’information adapté. Ces documents sont intégrés dans la base privée documentaire de chaque société. Pour les nouvelles données collectées, les mentions d’informations adaptées à chaque situation et complémentées par la politique de confidentialité permettront d’être conforme à l’exigence d’information aux individus.
- Informations aux personnes internes (collaborateurs) : le DPO éditera et proposera de mettre en place avec le service RH une note interne, recensant les traitements et informations sur les conditions d’utilisation des données personnelles des salariés. Ces documents sont intégrés dans la base privée documentaire de chaque société.
- Le DPO identifiera les besoins de recueil de consentement à partir des informations du registre et des opérations spécifiques. Il proposera et mettra en place des mécanismes de recueil (formulaire papier, réponse email, opt in internet…). Il assurera la gestion des cookies. La collecte et la gestion des consentements seront placés dans la base documentaire.
- Le DPO sera destinataire des demandes des droits des personnes. Il organise la bonne gestion d’exercice des droits, il collecte et gère les demandes dans les délais et dans les conditions prévues par le règlement. Il gère les accusés de prise en compte des délais. Il répond après avoir mis en forme la réponse. Cette dernière est tenue dans le registre des demandes et gérée dans la base.
- Le DPO analyse les risques des traitements identifiés dans le registre (prise en compte des indications du CEPD/CNIL dans le process de qualification d’analyse d’impact (PIA). En cas de doute, il justifie la non réalisation de PIA ou il demande un avis à la CNIL. Si le risque est élevé il réalise le PIA, identifie les risques, propose un plan de traitement et suit les actions de protection des risques.
- Il contrôle et analyse les mesures de protection (contrôle sécurité du SI) en cas de changement du traitement. Tous les documents sont intégrés dans la base documentaire.
- Le DPO propose et met en place une procédure de violation de données RGPD à concilier et à adapter avec la gestion des incidents. Lorsque des incidents sont remontés, le DPO qualifie les incidents en violation constatés. Il se charge de la notification à la CNIL via la plateforme de déclaration dédiée. Il gère la communication à la direction et aux personnes concernées si cela est nécessaire. Il suit ensuite les évolutions de la déclaration et la mise en place des actions correctives. Il clôture la violation. Toutes les informations sont consignées dans le registre des violations et dans la base documentaire.
- Le DPO réalise une revue de l’application des principes RGPD dans les services/outils existant. Il relèvera les écarts de conformité entre les outils/services existants et les principes du RGPD. Il réalise un bilan des non-conformités qu’il présente dans un rapport pour proposer un plan de traitement et d’actions correctives. Pour les futurs traitements/logiciels, il participe à la rédaction du CDC .
- Tous les rapports sont placés dans la base documentaire.
- La sensibilisation des cadres a été effectuée dans la phase 1. Pour compléter par un aspect opérationnel cette sensibilisation, il réalisera des fiches reflexes (une par service) pour appliquer le RGPD dans chaque périmètre métier.
- Le DPO sera en charge de la sensibilisation de masse des agents. Il construit et propose un support de sensibilisation adapté à la structure et des tests (QCM) de contrôle des connaissances. Il organise la sensibilisation avec la RH. Il propose un plan de communication pour les salariés et une procédure individuelle pour chaque nouvel embauché. La sensibilisation sera réalisée en ligne avec les test(s) de connaissance pour permettre de gérer les résultats. Les résultats du contrôle des connaissances, ainsi que les supports serviront de preuves dans la base documentaire.
- Un Guide/Fiches des bonnes pratiques sera proposé par le DPO pour accroitre le niveau de sécurité des agents. Il réalise et participe à la diffusion de fiches « sécurité » rappelant les bonnes pratiques à mettre en œuvre au niveau quotidien et personnel, en vue d’appliquer les mesures de protection des données personnelles (mot de passe, phishing, bureau propre…).
- Le DPO présente à la direction un bilan annuel de la conformité. Il s’agit de présenter les actions d’exercice de conformité (demandes de droits, violations de données), une photographie sur l’état d’avancement des actions de conformité déroulées en cours d’année et celles prévues pour s’adapter aux évolutions des risques de violation de données et sur les actions qu’il convient de réaliser pour rester dans la conformité. Ce bilan est conservé dans la base documentaire.
- Le DPO tient la direction informée de tout nouveau changement dans la règlementation de la vie privée (RGPD, Loi informatique et liberté, directive, code civil…). Il intègre immédiatement les changement significatifs, ou dans son plan de traitement annuel, s’il s’agit d’une évolution planifiée.
- Le DPO crée un espace organisé, destiné à gérer les preuves de conformité en cas de contrôle. Cette Base documentaire est le Référentiel RGPD du DPO.
- Cette base documentaire est gérée par le DPO externalisé. Les chefs de services peuvent avoir accès aux informations sur demandes de conformité qui les concernent. La direction possède un accès sur la totalité.
- La base documentaire gère les versions.
Quelles sont les missions du DPO ?
Exemple de liste des documents (co)produits par le DPO
- Contrôle, complétude et validation du Registre
-
- Registre mairie
- Fiches d’entretiens des services sensibles
- Maitrise des tiers :
-
- Engagements des prestataires indépendants (médecins)
- Procédure de communication aux tiers (courriers),
- Questionnaire de maturité RGPD,
- Clauses RGPD avec annexe d’indentification de traitement
- Paragraphe RGPD pour consultation d’offre
- Informations aux personnes :
- Information aux personnes externes : Politique de confidentialité, mentions sur site internet, gestion des cookies, mentions formulaires
- Informations aux salariés : note aux collaborateurs
- Gestion du consentement
- formulaire de consentement, gestion des cookies
- Exercice des droits des personnes
- Procédure de gestion des exercices des droits,
- Modèle de registre d’exercice des droits
- Gestion des risques
- Grille d’étude du SI,
- Analyse des risques des traitements
- Etude d’impact PIA – Plan de traitement
- Procédures violation de données
- Procédure de gestion des notifications de violation de données
- Modèle de registre de violation
- Support de déclaration de violation
- Sensibilisations
- Support de cours de Sensibilisation
- QCM
- Fiches de bonnes pratiques
- Fiches reflexe RGPD par service
- Gestion documentaire (modèle de gestion)
- Bilan
