Comment se préparer au règlement européen sur la protection des données ?
La CNIL publie une méthodologie en 6 étapes pour se préparer et anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018. Les organismes devront en effet être capables de démontrer, à compter de cette date, leur conformité à ces dispositions. La démarche proposée par la CNIL permet d’accompagner les professionnels et de leur apporter une sécurité juridique maximale.
Passer des formalités préalables à une logique de responsabilité
Alors que les obligations des organismes au regard de la loi informatique et libertés reposent en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation et de transparence.
Cette notion de responsabilité (accountability) se traduit notamment par :
- la prise en compte de la protection des données dès la conception d’un service ou d’un produit et par défaut ;
- la mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées.
En pratique, les organismes devront :
- réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
- évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
- identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention ;
- maintenir une documentation assurant la traçabilité des mesures.
Les nouveaux outils de conformité
D’un point de vue opérationnel, la conformité au règlement européen repose sur différents outils :
- le registre des traitements et la documentation interne ;
- les analyses d’impact relatives à la protection des données (AIPD) pour les traitements à risque ;
la notification de violations de données personnelles. La mise en œuvre de ces outils implique, au préalable, la désignation d’un « pilote » interne : le délégué à la protection des données, véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme. Au-delà, la logique de responsabilisation (accountability) doit se traduire par un changement de culture interne et mobiliser les compétences internes ou externes (DSI, prestataires, services juridiques, services métiers).
Pour aider les organismes à s’organiser, la CNIL propose une rubrique dédiée, une méthode et des outils pour se préparer au règlement en 6 étapes. Elle permet aux organismes de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêts en 2018.
Ces outils seront adaptés et enrichis au gré de la publication des lignes directrices du G29 et de réponses aux questions les plus fréquemment posées par la CNIL.
> Découvrez les 6 étapes pour se préparer