Comment mettre en place le RGPD ?
Le RGPD a mis en place des changements majeurs sur le traitement et l'utilisation des données des particuliers dans le système d'information d'une entité.
Définition du RGPD
Le RGPD joue un grand rôle dans la protection des données. Son objectif est de permettre aux particuliers de mieux maitriser le traitement et l'utilisation de leurs données. En se référant à la CNIL, le RGPD répond à deux points :
- La protection des données suivant les principes de la CNIL sur la loyauté du traitement, la pertinence des données, la durée de conservation, la sécurité, etc.
- Les obligations et les droits qui s'adaptent à la RGPD comme le droit à la portabilité des données.
Etapes de la mise en place du RGPD
Il existe différentes étapes à suivre afin d'assurer la conformité du RGPD à la CNIL.
Étape 1 : Définir l'étendue du traitement
La première étape à suivre est de déterminer les raisons de la collecte des données personnelles, en plus clair, la finalité du traitement. Cette finalité doit être rédigée de manière large pour éviter une éventuelle incompatibilité de traitement. L'article 13.1.c du RGPD stipule que " le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes (.) les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement. "
Étape 2 : Définir la base légale
La base légale doit contenir au moins l'une des six bases légales définies dans l'article 6 du RGPD. Celles-ci sont notamment :
- le consentement des personnes (art. 6.1.a) ;
- l'exécution d'un contrat, ou de mesure précontractuelles (art. 6.1.b) ;
- une obligation légale (art. 6.1.c) ;
- la sauvegarde des intérêts vitaux d'une personne (art. 6.1.d) ;
- une mission d'intérêt public ou d'autorité publique (art. 6.1.e) ;
- les intérêts légitimes du responsable du traitement (art. 6.1.f).
Étape 3 : Énumérer les destinataires des données
Contrairement à la rédaction antérieure de la loi, les destinataires des données personnelles, notamment les destinataires ou les catégories de destinataires des données à caractère personnel s'ils existent, doivent être mentionnés suivant l'article 13.1.e du RGPD.
Étape 4 : Déterminer la durée de conservation des données
Une durée de conservation doit être mise en place par le responsable de traitement suivant l'article 13.2.a. Si la durée ne peut pas être déterminée, il faudra énumérer les critères utilisés afin d'assurer la sécurisation des données.
Étape 5 : Indication de l'obligation de fourniture de données
L'article 13.2.e impose au responsable du traitement de fournir des informations concernant l'exigence de fourniture de données à caractère personnel. Le but est de savoir si cette exigence a un caractère réglementaire, contractuel ou si elle conditionne la conclusion d'un contrat. Il convient également de déterminer si la personne concernée est tenue de fournir les données à caractère personnel et si les conséquences éventuelles de la non-fourniture de ces données existent.
Étape 6 : Finaliser avec les autres mentions obligatoires
Il reste quelques éléments obligatoires à définir dans l'article 13 tels que :
- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement (art. 13.1.a) ;
- le cas échéant, les coordonnées du délégué à la protection des données (art. 13.1.b).