Le RGPD en pratique et bien outillé

Ce n’est pas une révolution, mais une évolution de la loi informatique et liberté de 1978”. C’est ainsi que Pascal Alix, avocat au barreau de Paris et correspondant informatique et libertés, définit le fameux RGPD (Règlement général sur la protection des données) qui entrera en vigueur le 25 mai.

Révolution ou évolution, toujours est-il que le RGPD est un vrai bouleversement pour les entreprises et les administrations, qui doivent se mettre en conformité avec cette nouvelle réglementation européenne sous peine de lourdes sanctions.

Les étapes de mise en conformité définies par la Cnil

Pour ce faire, la Cnil (Commission nationale informatique et liberté) a défini 6 étapes :

  1. Désigner un pilote, au sein de l’entreprise, qui gérera le projet de mise en conformité, éventuellement un DPO (Data Protection Officer).
  2. Cartographier les données : l’entreprise doit recenser de façon très précise ses traitements de données personnelles en établissant un registre des activités de traitement.
  3. Prioriser les actions à mener sur la base de ce registre. Cette priorisation doit s’effectuer au regard des risques que font peser les traitements de données sur les droits et les libertés des personnes concernées;
  4. Gérer les risques en menant une ou plusieurs analyses d’impact sur la protection des données
  5. Organiser la mise en conformité grâce à des processus internes.
  6. Documenter la conformité pour la prouver. Pour ce faire, il faut constituer une documentation exhaustive.

Ces étapes peuvent être effectuées en même temps, elles ne sont pas chronologiques.

Former une équipe pour entrer en conformité avec le RGPD

Pour documenter ces procédures et réaliser un audit, l’entreprise aura besoin de constituer une équipe de personnes clés et de mener des interviews. Elle peut être constituée de responsables métiers, de chefs de projets ou tout simplement du personnel ayant accès à l’ensemble des données traitées.

L’entreprise déterminera, ainsi, les bases légales des traitements de l’information et pourra réviser la documentation qui l’encadre, voire la produire au cas où elle n’existe pas.

C’est à partir de là que l’entreprise doit effectuer diverses analyses pour cartographier les traitement et localiser les données.

S’appuyer sur des outils pour faciliter sa mise en conformité

Cette démarche, indispensable, est cependant insuffisante. Pour mener à bien sa mise en conformité avec le RGPD, l’entreprise doit s’outiller et s’appuyer sur des logiciels comme everteam.discover. Cette solution vous permet d’effectuer différentes actions indispensables :

  • Assainir et nettoyer votre système d’information (pourquoi conserver des informations devenues obsolètes ou inutiles ?) ;
  • Identifier les informations contenant des données personnelles ;
  • Préserver et sécuriser ses données ;
  • Simplifier les recherches des ayants droits concernant l’accès, la mise à jour ou la destruction de leurs données personnelles.

De tels outils permettent d’automatiser certaines actions et, donc, de gagner un temps précieux. En identifiant automatiquement les documents contenant des données personnelles, ils vous accompagnent dans les démarches que vous devez mener afin de faciliter votre mise en conformité avec le RGPD. Par exemple, si un citoyen fait valoir son droit à l’oubli, l’outil vous aidera à retrouver aisément tous les documents le concernant.

Plus largement, ces outils permettent de bénéficier d’une vision globale de l’ensemble, souvent gigantesque, des contenus stockés par une entreprise. Celle-ci peut alors véritablement mettre en place une démarche plus large de mise sous gouvernance de son patrimoine informationnel, souvent partiellement géré, et transformer le RGPD en une opportunité de reprendre le contrôle sur ses données.

Avez-vous trouvé le contenu de cet article intéressant ? N’hésitez pas à visionner le replay du webinar « Le RGPD en pratique et bien outillé » animé par Pascal Alix (Avocat à la Cour & Expert RGPD chez Cabinet Virtualegis) et Noureddine Lamriri (VP Product Management & Expert de la gouvernance de l’information chez Everteam).