La procédure de mise en conformité au RGPD et le rôle du Data Protection Officer

Mettre en conformité son entreprise avec le RGPD est un processus complexe, nécessitant l’intervention d’un Data Protection Officer (DPO). Ce dernier joue un rôle clé dans la gestion des données personnelles. Cet article vous guide à travers les étapes de mise en conformité, les missions du DPO et les bonnes pratiques pour assurer une protection optimale des données au sein de votre organisation.

de Raïssa MAMANE
5 min

du 19 mai. 2022

Sommaire

{{1}}

1. Les étapes de la procédure de mise en conformité au RGPD

Pour respecter la volonté de la CNIL et être en conformité avec le RGPD, il convient de respecter 4 éléments :  

1) Recenser les traitements :  Le recensement des traitements impose au responsable du traitement des données de tenir un registre en application de l’article 30 du RGPD.  

2) Trier les données :  Il s’agit de vérifier la pertinence de chaque donnée, sa nécessité et sa nature par rapport à l’objectif poursuivi par l’entreprise utilisatrice des données personnelles afin d’adapter les mesures de sécurité aux risques liés au traitement des données. Il faut également veiller à ce que les données personnelles soient accessibles aux agents habilités uniquement et fixer précisément la durée de conservation et l’archivage des données.  

3) Respecter le droit des administrés : Le respect du droit des administrés se traduit par le fait d’informer les individus dont les données personnelles sont traitées et d’organiser et faciliter l’exercice de ce droit.  

4) Sécuriser les données personnelles : Les entreprises concernées doivent mettre en place des mesures techniques et organisationnelles permettant de garantir la sécurité des données en fonction de leur sensibilité ainsi que des mesures spécifiques et nécessaires en cohérence avec les risques liés aux atteintes aux droits et libertés des personnes concernées.        

Selon la CNIL, la mise en conformité au RGPD d’une entreprise ou organisation s’effectue en 6 étapes :  

Étape 1 : Désigner un pilote :  Un pilote est une personne chargée de gérer les données personnelles des utilisateurs. Dans le cadre de la gestion des données, le pilote exerce 3 missions : une mission d’information, de conseil et de contrôle.  

Étape 2 : Cartographier : Les entreprises et organisations concernées par le RGPD doivent cartographier leurs données : ils doivent recenser l’ensemble des données à caractère personnel qu’elles traitent. Il s’agit d’une étape essentielle pour la conformité de l’entreprise car elle va lui permettre d’avoir une vision globale sur la circulation des données personnelles dans l’entreprise. De cette façon, il est garanti aux différents acteurs de l’entreprise une meilleure accessibilité et une meilleure compréhension des données.  

Étape 3 :  Prioriser : La priorisation des actions à mener consiste à établir un calendrier d’actions, de contrôles et de corrections en tenant compte des objectifs et des contraintes liées à la gestion des risques encourus par l’entreprise. Dans le cadre de la priorisation, l’entreprise doit s’assurer de collecter uniquement les données nécessaires à l’exercice de son activité.

Elle doit également déterminer la base de données sur laquelle elle s’appuie pour collecter ces données, vérifier la conformité des mentions légales, contacter les sous- traitants et harmoniser ses pratiques internes. Enfin, elle doit vérifier les modalités de contrôle et de rectification des données offertes aux utilisateurs et sécuriser son système de récupération et de stockage des données à caractère personnel.

Etape 4 :  Gérer les risques : La gestion des risques désigne le fait d’identifier des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des utilisateurs.

Par conséquent, l’entreprise qui estime que certaines de ses pratiques peuvent être risquées pour les droits et libertés des administrés devra mener une étude sur l’impact de cette atteinte au sein de sa structure.    

Étape 5 : Organiser : L’organisation des processus internes : L’organisation des processus internes permet d’assurer un haut niveau de protection permanent aux usagers dont les données à caractère personnel sont traitées.

Pour organiser son processus interne, l’entreprise concernée devra mettre en place des procédures internes qui prennent en compte et garantissent la protection des données des usagers à tout moment en anticipant les évènements qui pourraient se produire pendant la durée du traitement des données.

Étape 6 : Documenter : La documentation de la conformité consiste à consulter et regrouper la documentation nécessaire. La documentation réalisée lors des étapes précédentes doit être réexaminée et actualisée régulièrement afin d’assurer une protection constante des données.  

Pour plus de détails vous pouvez consulter le site de la CNIL par ici.

{{2}}

2. L’organe de contrôle de la conformité au RGPD

L’organe chargé du contrôle de mise conformité des entreprises au RGPD est le délégué à la protection des données, “Data Protection Officer” (DPO).  

Pour accomplir l’ensemble de ses missions, le DPO doit tenir compte des risques liés aux opérations de traitement des données en fonction de leur nature (données sensibles ou non), de la portée du traitement, du contexte dans lequel il a été réalisé et des finalités du traitement.  

La désignation d’un DPO est obligatoire en application de l’article 37 du RGPD.

En pratique, lors de la désignation d’un DPO il est recommandé de détailler l’ensemble de ses missions dans son contrat de travail. Les règles de désignation du DPO sont prévues à l’article 37 du RGPD.  

a. Les missions du délégué à la protection des données personnelles  

Les missions du DPO sont prévues à l’article 39 du RGPD.

Le DPO exerce deux missions principales :  

  • Une mission d’information : Il doit informer les entreprises de l’ensemble de leurs obligations en matière de protection des données personnelles en application de l’article 39 alinéa 1 a) du RGPD. Selon cet article, le DPO doit informer les responsables du traitement des données, les sous-traitants et les employés responsables des sous- traitants.
  • Une mission   de conseil : Le DPO peut établir des documents informatifs dans lesquels il élabore une politique de protection des données. Ces documents peuvent également faire office de preuves dans la mise en œuvre du principe d’accountability, principe imposé par le règlement.  

En outre, le DPO a une mission de contrôle du respect du RGPD et de l’ensemble des législations en matière de protection des données personnelles.

Par ailleurs, le DPO doit également veiller au respect des règles internes de l’organisme concerné par son contrôle notamment pour les règles établissant la répartition des responsabilités de sensibilisation et de formation du personnel chargé du traitement des données.  

Pour effectuer cette mission de contrôle, le DPO peut recueillir des informations qui lui permettent de recenser les activités de traitement, d’analyser et vérifier la conformité de ces activités, d’informer et conseiller le responsable du traitement des données ou ses sous-traitants sur leurs obligations en leur faisant des recommandations et de former le personnel ou faire appel à un organisme de formation spécialisé.

b.  Les obligations du délégué à la protection des données personnelles

Les obligations générales du DPO sont prévues par les articles 24 à 31 du RGPD.

Le délégué à la protection des données a des obligations à respecter dans le cadre de ses missions notamment en matière de sécurité des données personnelles.  

En effet, en qualité d’acteur de la mise en conformité au RGPD, il doit mettre en œuvre la politique de sécurité du responsable du traitement des données à caractère personnel.

En outre, le DPO a également une obligation de notification à l’autorité de contrôle (la CNIL) en cas de violation de données à caractère personnel. Cette obligation est prévue par l’article 33 du RGPD.  

L’article 34 du RGPD prévoit également qu’en cas de violation de données à caractère personnel, les personnes concernées doivent être notifiées.  

Par ailleurs, le DPO peut être amené à constituer la documentation utile à ces notifications et à l’utiliser.  

Enfin, le DPO peut assister le responsable du traitement lorsqu'il envisage de porter plainte en raison d’une faille informatique dans le système de sécurité.  

Pour approfondir le sujet, retrouvez notre article complet sur le RGPD : Tout savoir sur la protection des données personnelles pour mieux comprendre.

1
2
3
4
5
6
7
8
9
Raïssa MAMANE
Juriste

Consulter d’autres articles

Coffre-fort numérique et cloud souverain : définitions et contours

Quelles sont les différences entre le coffre-fort numérique et le cloud souverain ? On vous dit tout dans cet article...

de Vianne Savoli

La clause de réversibilité : ce qu’il faut savoir pour récupérer efficacement ses données

Qu'est-ce que la réversibilité informatique ? Pourquoi est-il important d'avoir une clause de réversibilité dans les contrats ? Comment s’assurer qu’elle soit bien rédigée ? On vous dit tout...

de Raïssa MAMANE

La cybersécurité en entreprise

Quels sont les piliers de la cybersécurité ? Quels sont les enjeux pour les entreprises et comment se protègent t’elles des cyberattaques ? On vous dit tout…

de Raïssa MAMANE

La législation évoquée relève exclusivement du droit français. 🇫🇷