Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 au sein de la Métropole, et établit un cadre juridique renforçant les droits de la personne. La mise en conformité avec la règlementation est devenue une priorité pour les entreprises en garantissant la mise en place d’une éthique et une transparence pour la collecte et le traitement de données. Le suivi d’une succession d’étape est toutefois exigé pour se mettre en conformité.
DPO et cartographie de données
La mise en conformité RGPD démarre généralement avec la nomination d’un délégué prenant en charge la protection des données ou « Data Protection Officer » (DPO). La personne désignée devra toutefois disposer des compétences adaptées afin de répondre aux conditions imposées, à savoir une expertise en termes techniques et juridiques associés à une excellente connaissance du secteur d’activité. Elle doit ensuite attribuer le temps nécessaire pour l’exercice de la fonction et avoir accès aux moyens requis ainsi qu’aux données. Le délégué devra bien évidemment intégrer une équipe utilisant les données personnelles, mais celui-ci sera tenu de maintenir une indépendance et une impartialité exemplaire.
La cartographie reflète directement les méthodes appliquées par la société et impliquera les différentes techniques de traitement des données. La nature des données collectées par les acteurs étant directement concernée, les objectifs à atteindre relatifs à la collecte seront également à revoir en plus de la source et destination des données.
Hiérarchiser les actions et identifier les risques
Chaque élément cartographié doit être accompagné d’un calendrier d’actions tenant compte des contraintes et risques existants. Il sera par ailleurs primordial de réaliser uniquement la collecte de données essentielles à la pratique de l’activité et identifier les mentions juridiques justifiant ladite collecte. L’entreprise devra néanmoins effectuer une vérification de ces mentions légales et informer les éventuels sous-traitants dans le but d’actualiser et synchroniser les pratiques. Les modalités de contrôle, correction et sécurisation des systèmes seront vérifiées dans le but de prévenir la perte de données.
Si les pratiques comportent des risques pouvant porter atteintes aux droits et libertés des individus, l’entreprise se trouvera dans l’obligation de conduire une étude d’impact intitulée « Privacy Impact Assessment » (PIA).
Protéger les données et documenter la démarche
La prévision des failles de sécurité durant la collecte et le stockage des données représente une opération courante au sein des entreprises. La procédure devra en revanche être écrite pour qu’elle puisse intégrer le dossier de mise en conformité. Ce document comporte notamment l’ensemble des informations liées aux pratiques de traitement de données personnelles, les moyens permettant d’informer les personnes et les divers critères déterminant les fonctions attribuées à chaque acteur lors du processus de collecte et traitement des données.