RGPD : les 6 étapes de la mise en conformité recommandées par la CNIL et les outils pour y répondre

Dans un monde qui se digitalise, tout devient donnée. Chaque fait, chaque décision, chaque acte devient une information, qui peut être traitée, exploitée, classée. Et ce à des fins commerciales, institutionnelles, réglementaires, statistiques ou encore scientifiques ! C’est pourquoi un nouveau cadre réglementaire, adapté à ces enjeux inédits et au volume de ces données — le fameux Big Data —, est en train de se mettre en place : le Règlement Général sur la Protection des Données, ou RGPD pour les intimes. Il sera entièrement applicable dès le 25 mai 2018, et ce au niveau européen. Comment s’y préparer ? Quels outils mettre en place à chaque étape recommandée par la CNIL ? Décryptons cela ensemble !

  • LE RGPD EN BREF

    Avant de voir en détail les outils qui permettront de satisfaire aux 6 étapes de la mise en conformité établies par la CNIL, commençons par un rapide point sur ce qu’est le Règlement Général sur la Protection des Données. Ce nouveau texte de référence européen, promulgué en avril 2016 et applicable en mai prochain, a pour ambition d’encadrer la protection des données à caractère personnel, et de renforcer les droits des consommateurs en la matière.

    Il repose notamment sur un consentement explicite et positif de ceux dont les informations sont récupérées, sur un droit à l’effacement et à la portabilité, ainsi que sur un cadre (enfin !) harmonisé au niveau européen. Il impose donc aux acteurs économiques de répondre à de nouvelles exigences, à même de renforcer la confiance que les consommateurs peuvent leur accorder.

LES 6 ÉTAPES DE LA MISE EN CONFORMITÉ

Le nouveau RGPD sera prochainement une réalité pour les entreprises, quel que soit le secteur d’activité. Il convient donc de s’y préparer dès maintenant. Pour cela, la CNIL a publié un référentiel de mise en conformité, en 6 étapes, afin d’être en mesure de garantir aux consommateurs que le traitement de leurs données entre parfaitement dans le cadre défini au niveau de l’Union européenne. Voici lesquelles :

  • Étape 1 : désigner un pilote. Sa mission ? Gérer la gouvernance des données personnelles. Il lui reviendra de planifier les actions destinées à appliquer le RGPD. Il deviendra en 2018 le « correspondant informatique et libertés » de l’entreprise ou le DPO (Délégué à la Protection des Données).
  • Étape 2 : cartographier. Il s’agira de recenser le traitement des données personnelles (finalités, sous-traitants, stockage, durée de conservation…), via un « registre des traitements ».
  • Étape 3 : prioriser. Le nouveau RGPD doit entraîner des actions correctrices sur le traitement des données personnelles. Celles-ci doivent être priorisées en fonction des risques qui pèsent sur les droits des consommateurs concernés.
  • Étape 4 : gérer les risques. Cette étape consiste à corriger les défauts constatés dans le traitement des données, via une analyse d’impact sur la protection des données.
  • Étape 5 : organiser les processus internes. Maintenant que les défauts sont corrigés, il convient de réorganiser le traitement des données, en accord avec les obligations du RGPD.
  • Étape 6 : documenter. La mise en conformité doit être démontrée par une documentation complète, actualisée régulièrement et exportable facilement.

QUELS OUTILS POUR RÉPONDRE AUX ÉTAPES DE LA CNIL ?

La CNIL fournit différents outils pour se mettre en conformité avec le RGPD. Ainsi, en premier lieu, un modèle de registre des traitementsest disponible, afin d’aider les entreprises à cartographier leurs pratiques actuelles. Sur le volet « analyse d’impact », des guides « méthodologie »« outillage » et « bonnes pratiques » sont proposés pour apprendre à mieux gérer les risques. Enfin, un exemple de clause de contrat sous-traitant (y compris pour maintenance et télémaintenance) peut être téléchargé.

La bonne mise en place du RGPD dans les entreprises passera aussi par une fine analyse des données  aujourd’hui réparties dans les applications du SI et un archivage efficace possible de celles-ci. En effet, comment garantir l’accès des consommateurs à leurs données personnelles si celles-ci sont irrécupérables, inatteignables et introuvables, dans la masse de data créée et gérée par l’entreprise ?

Pour y répondre, il est idéal d’opter pour une solution d’analyse multi-sources des données dotée de technologies de machine learning permettant d’identifier les données personnelles, complétée par une solution d’archivage en mode Cloud privé, proposant des fonctionnalités de signature électronique, d’horodatage certifié et d’hébergement, en adéquation avec la nouvelle réglementation européenne.

Ainsi, les consommateurs auront l’assurance de pouvoir accéder à leurs données sur demande, de pouvoir demander des modifications ou la suppression ( “droit à l’oubli”) si besoin, et d’en limiter l’usage. Du côté de l’entreprise, c’est l’accès à une meilleure efficacité grâce au machine learning, à une meilleure certification des données et des process, et à un respect complet des impératifs dictés par le RGPD !

Si le RGPD n’est applicable qu’à partir de mai 2018, il convient de prendre dès maintenant toutes les mesures pour en respecter les principes. Vous souhaitez vous faire accompagner dans cette démarche ? Contactez au plus vite les experts de l’équipe Everteam, spécialiste de la gouvernance de l’information !