A qui confier votre mise en conformité ?

mise en conformité

Le règlement général sur la protection des données personnelles est en vigueur depuis le 24 mai 2016 dans tous les états membres de l'Union Européenne. Il a été adopté en avril 2016 par le Parlement européen et le Conseil de l'Europe. Il stipule l'obligation de mise en conformité de toute entreprise basée sur le territoire européen et qui exploite des renseignements personnels de personnes.

Choisir un délégué à la protection des données ou DPO

Le DPO se réfère à la personne désignée par l'entreprise pour gérer la conformité RGPD. Elle peut choisir une personne en interne ou engager une entité externe. Dans tous les cas, elle doit connaître et maîtriser toutes les clauses stipulées dans le règlement des protections de données. Son rôle consiste à vérifier les actions déjà en place et identifier celles qui doivent encore être effectuées. Le DPO est toujours en contact avec le personnel de l'entreprise et la direction. Néanmoins, il reste neutre afin de réaliser son travail en toute impartialité selon les exigences légales. Il procède aussi à une veille règlementaire afin d'assurer la conformité de l'entreprise tout au long de sa vie. Il vérifie que les outils utilisés pour le traitement des données sont conformes à la démarche de privacy by design. Cette fonctionnalité doit permettre au logiciel de détecter automatiquement les données personnelles. À chaque identification, il active systématiquement la restriction de leur accès. Il est donc très important de vérifier ce détail avec les programmeurs des outils utilisés. Toutes les précisions concernant les tâches du DPO sont répertoriées dans le document unique RGPD.

Le DPO : chargé de l'étude et de l'analyse des risques au sein de l'entreprise

Le DPO se doit d'identifier et d'inventorier toutes les données personnelles en possession de l'entreprise. Cette étape est indispensable afin de gérer toute éventuelle fuite ou violation. Elle rend plus simple la mise en place d'une mesure de recouvrement destinée à limiter l'impact des conséquences de ce type d'évènement. Cette anticipation permet à l'entreprise d'éviter de lourdes sanctions face à ce genre de problématiques. Dans certains cas, le DPO peut être amené à effectuer une médiation entreprise. L'analyse d'impact sur la protection des données réalisée par le DPO se fait lors du traitement de toutes les données personnelles. Elle comprend une description détaillée du traitement, mais aussi sa finalité. Celle-ci ne doit avoir aucun impact sur les libertés fondamentales et les droits des personnes concernées.

Application des procédures destinées à la mise en conformité de l'entreprise

Le DPO doit mettre en œuvre plusieurs actions, dont l'accountability. Celui-ci est relatif à la protection optimale des données personnelles en possession de l'entreprise. Elle doit pouvoir en apporter la preuve formelle. Le délégué à la protection des données veille également à l'efficience de la coresponsabilité entre l'entreprise qui se charge du traitement et le sous-traitant à qui cette tâche est confiée. Il intervient dans un processus bien défini de l'entreprise. Les conditions de traitement des données impliquent, entre autres, la demande de consentement de la personne concernée. Dans ce cas, il est préférable d'apporter des modifications à la politique de confidentialité pour prévenir toute infraction. Le plan d'action du document unique d'évaluation de risques doit aussi inclure la sensibilisation de tout le personnel sur le RGPD. Il doit également leur expliquer les risques psychosociaux inhérents à la protection des données personnelles. Le DPO doit aussi s'occuper de la documentation de la mise en conformité de l'entreprise. Elle regroupe toutes les actions effectuées dans le cadre de la protection des données personnelles. Le document unique de sécurité de chaque salarié doit faire mention des éventuelles mises à jour au fil du temps. Un compte pénibilité doit être annexé à celui-ci. Ces données doivent être bien sauvegardées, car elles constituent une preuve infaillible en cas de contrôle ou de problème. L'organisme doit toujours l'avoir à portée de main, mais dans un endroit sécurisé.

Identifier clairement les risques relatifs au Privacy Impact Assesment

Le DPO doit se charger de déterminer et de répertorier tous les impacts d'une violation des données sensibles. De cette analyse découlent toutes les mesures de prévention des risques professionnels à mettre en œuvre lors du traitement des données. Elle doit mettre en avant le respect de la vie privée des personnes en toutes circonstances et à tout moment. Le document unique d'évaluation des risques professionnels permet aussi de définir les outils indispensables à la protection des données. Cela concerne la sécurisation des échanges mail et des données informatiques en utilisant un antivirus performant et efficace. Il est important d'empêcher toute tentative de piratage informatique. Le DPO détermine également les personnes pouvant accéder aux données personnelles par rapport à la finalité de ces informations. Le but est de prévenir les risques psychosociaux au travail.