Le Règlement Général sur la Protection des Données (RGPD) à été définitivement adopté par le Parlement Européen le 14 avril 2016 et ses dispositions sont directement applicable depuis le 25 mai 2018.
Qu’est que le RGPD ?
Pour connaitre le détail des articles composant ce règlement, vous pouvez consulter ce document.
Le RGPD définit les droits des individus sur leur données à caractère personnel, établit les obligations des responsables du traitement des données, établit les méthodes permettant d’assurer la conformité et définit les sanctions en cas de non respect de celui-ci.
Le RGPD est une étape dans le renforcement constant de la protection des données personnelles et permet d’harmoniser les législations européennes.
Cette réglementation, à l’initiative de l’Union Européenne, représente une avancée majeure et unique au niveau mondial dans son rôle de protection des citoyens Européens, en leur redonnant le contrôle sur leur données personnelles.
Comment mettre en œuvre sa mise en conformité au RGPD ?
La mise en conformité au RGPD des collectivités doit être permanente et dynamique : des mesures visant à améliorer l’encadrement des données personnelles doivent être déployées de façon continue dans la collectivité et ces procédures doivent être menées et partagées par l’ensemble des acteurs de cette organisation.
Les mesures techniques et organisationnelles adoptées doivent garantir une protection tout au long du cycle de vie de la donnée (collecte, traitement, transmission, archivage, destruction, etc.) . Il faut pouvoir démontrer, à tout instant, que ces mesures offrent un niveau optimal de protection aux données traitées.
La CNIL préconise 6 étapes pour mener à bien sa mise en conformité :
Désigner un pilote
La collectivité doit désigner un Délégué à la Protection des Données (DPD) (qui peut être mutualisé) et avoir une personne référente, au sein de la collectivité, pour mener la mise en conformité.
Cartographier vos traitements de données personnelles
Un travail d’audit doit être mené dans la collectivité, afin de connaitre la liste des traitements, les sous-traitants éventuels ainsi que le cheminement des données. Des registres doivent être établi à cet effet.
Prioriser les actions
En fonction de l’audit réalisé, une analyse peut être mené afin de déterminer les actions pouvant être rapidement déployées : modification des formulaires de collecte, révision des mentions d’information, vérification des contrats de sous-traitance, vérification des mesures de sécurité, etc.
Gérer les risques
Une analyse portant sur les sources à risque, les impacts potentiels, les supports et les éléments à protéger peut être menée par la suite. Des mesures de sécurité et des procédures visant à anticiper et éviter ces risques peuvent être envisagées. Des analyses d’impact seront réalisées pour les traitements de données sensibles.
Organiser les processus internes
La protection des données doit être prise en compte dès la conception. Toute réclamation ou violation de donnée doit être consigné. Un plan de sensibilisation doit être mené au sein de la collectivité pour l’ensemble des personnes.
Documenter la conformité
Un dossier doit être établi afin de prouver, à tout moment, les mesures et actions qui ont été menées par la collectivité en ce qui concerne la mise en conformité au RGPD.