Les recommandations de Giuliano Ippoliti, RSSI Cloud Temple (hébergement et infogérance Cloud de SI critiques), et directeur de l’agence Grand Ouest, s’inspirent de la bonne parole diffusée par la CNIL.
1 – Désigner un responsable pour la mise en conformité. Idéalement c’est un expert en sécurité des systèmes d’information ou un juriste, familier des projets transverses. Ce dernier doit bien sûr être formé au RGPD. L’auto-formation à partir des supports publiés par la CNIL peut être une solution efficace.
2 – Comprendre pour bien faire comprendre au sein de l’entreprise les 4 concepts clés suivants :
– Donnée personnelle : toute information permettant de remonter à l’identité d’une personne physique, de manière directe (donnée nominative) ou indirecte ;
– Traitement de la data : toute opération sur les données à caractère personnel, que ce soit dans un fichier Excel, dans une base de données, dans une application métier ou même sur papier. La simple consultation de données à l’écran est considérée comme un traitement. Le champs d’application du règlement vise les traitements établis sur le territoire de l’Union Européenne (UE) ou visant des résidents de l’UE ;
– Responsable de traitement (RT) : l’entité qui détermine la finalité et les moyens du traitement ;
– Sous-traitant : la société qui réalise des traitements pour le compte du responsable.
3 – Inventorier les traitements de données personnelles et les formaliser dans des registres. En général, ils sont au nombre de deux :
– Le registre des traitements où l’entité est responsable (un modèle de ce registre est disponible sur l’extranet CNIL) ;
– Le registre des traitements où l’entité agit en tant que sous-traitant. C’est une version allégée du premier : on ne demande pas aux sous-traitants le même niveau de détail que pour les responsables.
4 – Vérifier l’application des 6 règles d’or de la protection des données, pour chaque traitement :
– Licéité : le fondement juridique du traitement. Les cas les plus fréquents sont le consentement et l’intérêt légitime du RT ;
– Finalité : l’objectif du traitement, qui doit être explicite et cohérent avec la mission de l’organisme qui traite les données ;
– Minimisation : données pertinentes et proportionnées par rapport à la finalité ;
– Exactitude : le RT doit prendre des mesures pour mettre à jour les données si nécessaire ;
– Durée limitée de conservation : les données ne peuvent être conservées de façon indéfinie, sauf dans des cas bien spécifiques ;
– Sécurité : les mesures en place doivent être adéquates par rapport au risque présenté par le traitement, notamment pour garantir l’intégrité et la confidentialité des données ;
5 – Mettre en place des processus pour garantir l’exercice des droits de personnes, dont certains ont été introduit par le RGPD, notamment le droit à la portabilité et à l’opposition à une décision individuelle automatisée (profilage).
6 – Réviser, dans la mesure du possible, tous les contrats avec ses clients et sous-traitants, pour y faire apparaître les clauses relatives à la protection des données. Compte tenu de l’ampleur de la tâche, il est conseillé de prioriser.
Etape n°7 – Réaliser des analyses d’impact pour les traitements qui présentent le plus de risques. Attention, il faut adopter le point de vue des personnes dont les données sont traitées. Cela doit aboutir à des plans d’actions pour augmenter la sécurité et réduire le risque.
La clé de la démarche de conformité est de tout documenter : cela permettra de prouver que le règlement est respecté.