Conformité RGPD : quelles procédures internes pour bien se préparer ?
Le règlement général sur la protection des données ou RGPD encadre le traitement des données personnelles des citoyens européens par les organisations. La mise en conformité RGPD est un processus dont la durée et la complexité varient selon l’organisation. Se lancer dans ce projet est une obligation légale ainsi qu’un moyen d’incarner ses valeurs éthiques. Plusieurs procédures internes permettent de préparer le projet de mise en conformité afin de faciliter sa réalisation.
Classer les données collectées selon leur usage
Une organisation peut accumuler un grand nombre de données personnelles. Ces données proviennent des clients, prospects, salariés, sous-traitants... Une première procédure interne essentielle pour préparer la mise en conformité RGPD en entreprise ou en collectivité consiste à effectuer un tri. Il faut alors identifier les données indispensables à l’exercice de l’activité de l’organisation.
Pour faciliter cette tâche, la CNIL (Commission nationale de l'informatique et des libertés) conseille de créer un registre de traitement des données. Il s’agit de définir les situations dans lesquelles les données collectées seront utiles. Chaque situation poursuit un objectif précis qui aide à déterminer la typologie de données à conserver, le cadre de leur utilisation et la durée de conservation. Ces situations, aussi appelées “activités”, sont par exemple des démarches de prospection, la réalisation d’enquêtes de satisfaction auprès des clients ou le recrutement de collaborateurs.
Voici ce que dit la loi au sujet du traitement de données à caractère personnel : “Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.”
Pour ne pas contrevenir à la loi, ce classement des données doit être suivi de la suppression des données inutiles.
Optimiser sa procédure RGPD de collecte des données
Une fois le registre de traitement des données créé, la procédure RGPD suivante à mettre en place consiste à améliorer la collecte. Il faut s’assurer que seules les informations utiles seront récoltées auprès des personnes.
Il faut savoir que certaines données à caractère personnel sont considérées comme sensibles. Il s’agit des données qui concernent l’engagement politique, la santé, la religion ou encore l’orientation sexuelle. Cela s’étend aussi aux données qui concernent des personnes vulnérables, comme les mineurs. Il faut traiter ce type de données avec vigilance et dans certains cas procéder à l'analyse d’impact relative à la protection des données (DPIA).
Dès la collecte, il faut aussi mettre en place des rappels afin de bien veiller à effacer les données lorsque la durée maximale de conservation est atteinte. La technique la plus optimisée consiste à programmer la suppression automatique dès la conception de ses applications.
Enfin, il faut limiter l’accès à chaque type de données aux seules personnes habilitées dans l’entreprise ou la collectivité. Il faut donc bien définir les rôles de chacun vis-à-vis des données en amont.
Anticiper les principales actions avec des procédures RGPD
Pour se mettre en conformité avec le RGPD, au-delà du classement et de la durée de conservation des données, une autre obligation est le droit d’accès. Selon l’article 15 du RGPD, les personnes physiques dont les données ont été collectées ont le droit d’accéder aux informations qui les concernent. Il est donc nécessaire de prévoir une procédure interne spécifique à la demande d’accès aux données.
Cette procédure RGPD doit impérativement passer par :
- La vérification de l’identité de la personne ;
- Demander des précisions sur le type de données souhaitées ;
- Vérifier que la demande d’accès ne porte pas atteinte à un tiers (propriété intellectuelle, secret des affaires…) ;
- Respecter le délai de réponse en accord avec la réglementation.
Il faut aussi penser aux autres demandes que la personne peut adresser, une fois qu’elle a reçu une copie de ses données. Le RGPD prévoit, par exemple, des droits de rectification, de limitation et d’opposition.
Une autre procédure essentielle à anticiper concerne la survenue de failles de sécurité. Dans ce cas-là, l’événement doit être documenté (nature, nombre de personnes touchées, quantités de données compromises, conséquences probables…). Si le risque est élevé, les personnes concernées doivent être informées. Dans tous les cas, une déclaration doit être effectuée auprès de la CNIL.
Pourquoi mutualiser les procédures RGPD et Open Data ?
L’Open Data, mise à disposition gratuite des données publiques, est une obligation pour l’ensemble des collectivités territoriales depuis la loi pour une république numérique de 2018.
Naturellement, le RGPD s’applique à ces données rendues publiques. Les collectivités peuvent même profiter de la mise en place de l’open data pour améliorer la qualité de leurs données. Des données de meilleure qualité peuvent être utilisées comme un outil d’aide à la prise de décision dans la collectivité. Bien gérées, les données collectées sont source d’avantages pour la collectivité, qui peut améliorer sa gestion relation citoyen, valoriser l’action publique ou impulser des innovations sur le territoire.
Pour ouvrir ses données, l’établissement doit anonymiser les données et supprimer celles qui sont sensibles. Il est donc possible de profiter des procédures RGPD telles que la création du registre de traitement des données pour commencer sa démarche open data.
Mettre en place ces deux projets en simultané est aussi une opportunité de gagner du temps en bénéficiant d’un accompagnement global, comprenant procédure RGPD et Open Data. S’il est décidé qu’un ambassadeur RGPD est désigné en interne, cette personne peut effectuer une montée en compétence sur ces deux sujets complémentaires.
Que votre organisation appartienne au secteur public ou privé, la mise en conformité RGPD relève d’enjeux à la fois stratégiques, organisationnels, humains et bien sûr juridiques. Hibyrd est une société de conseil hybride, capable de créer une équipe sur mesure mobilisant des compétences complémentaires. Notre prestation d’accompagnement à la mise en conformité RGPD prend en compte les problématiques spécifiques à votre secteur d’activité et à votre organisation. Nous vous accompagnons dans la formalisation des procédures préalables à la mise en conformité tout en travaillant sur les aspects humains de votre projet.
