DESIGNATION D’UN DELEGUE A LA PROTECTION DES DONNEES

La désignation d’un Délégué à la Protection des Données (DPD), parfois évoqué par son acronyme anglo-saxon DPO (pour Data Protection Officer) est obligatoire pour les organismes et autorités publics, et donc pour les collectivités territoriales.

Les missions du DPD sont :

  • D’informer et de conseiller le responsable de traitement de la collectivité ou le sous-traitant.

  • De sensibiliser les agents sur la protection des données manipulées.

  • De diffuser une culture Informatique et Libertés au sein de la collectivité, c’est-à-dire de diffuser et d’expliquer les évolutions de la loi, les particularités et précisions issues de jurisprudence, d’alerter sur des failles, etc.

  • De contrôler le respect du règlement et du droit national en matière de protection des données, notamment au travers d’audit.

  • De conseiller la collectivité sur la réalisation d’une analyse d’impact.

  • D’être le point de contact avec l’autorité nationale (CNIL).

Pour pouvoir exercer pleinement ses missions, le DPD doit être à l’abri de tout conflit d’intérêts et pouvoir rendre compte directement au responsable de traitement. A ce titre, il ne peut être en charge d’un traitement quel qu’il soit.

 
ELABORER LE REGISTRE DES TRAITEMENTS DE DONNEES

L’élaboration du registre des traitements de données nécessite :

  • D’établir l’inventaire de tous les traitements mis en place, qu’ils concernent les administrés de la collectivité comme ses propres agents.

  • D’identifier les données collectées, les moyens techniques pour assurer leur traitement et chaque source de stockage de ces données, même temporaire.

  • De préciser la ou les finalités pour lesquelles sont collectées les données (inscriptions scolaires, gestion de la paie, etc.).

  • De définir pour chaque catégorie de données le temps de conservation, en respectant les différentes règlementations en vigueur.

  • D’intégrer les traitements papiers et formulaires papiers, en effet, le RGPD ne fait pas de distinction entre le numérique et le papier.

  • D’identifier les mesures de sécurité actuellement mis en œuvre pour minimiser les risques d’accès non autorisés.

 
PRIORISER LES ACTIONS A MENER ET METTRE EN PLACE LES MESURES TECHNIQUES ET ORGANISATIONNELLES

Le registre de traitement doit permettre d’identifier les traitements à risque (voir le chapitre 4) et ceux dont le processus et/ou la sécurité n’est pas conforme au RGPD.

Il faut alors :

  • Modifier les formulaires (numérique et/ou papier) pour ne collecter que les données nécessaires à la finalité du traitement.

  • Identifier la base juridique : consentement de la personne, obligation légale, intérêt d’ordre publique, etc.

  • Réviser les mentions d’information pour qu’elles soient conforme aux exigences du RGPD : informations sur les données collectées, leur durée de conservation, lieux de stockage, finalité du traitement, ces mentions devant apparaître avant tout champ modifiable du formulaire.

  • Vérifier les contrats avec les sous-traitant et introduire des clauses contractuelles rappelant les obligations du sous-traitant (confidentialité et intégrité des données).

  • Prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, de suppression, retrait du consentement, droit à la portabilité, etc.).

  • Vérifier les mesures de sécurité mises en place (accès aux données, mesures de protection en cas de transport, sauvegarde régulière des données, etc.).

 
GERER LES RISQUES

Certains traitements peuvent être susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées. Il s’agit de ceux qui répondent à certains des critères suivants :
 

  • Evaluation ou notation.

  • Décision automatisée avec effet juridique ou effet similaire significatif.

  • Surveillance systématique.

  • Données sensibles ou données à caractère hautement personnel.

  • Données personnelles traitées à grande échelle.

  • Croisement d’ensembles de données.

  • Données concernant des personnes vulnérables.

  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles.

  • Exclusion du bénéfice d’un droit, d’un service ou contrat.

Si un traitement est sur au moins 2 de ces critères (par exemple le système de vidéosurveillance de la police municipale), il faut réaliser une analyse d’impact (PIA) afin d’identifier formellement les acteurs du traitement, les mesures de protection, les risques en cas de fuite d’information.

 
ORGANISER LES PROCESSUS INTERNES

Le RGPD exige la garantie dans le temps de la protection des données collectées.

Ainsi, il faudra veiller à :

  • Mettre en place un processus de réponse aux requêtes des personnes concernées (demande de rectification, d’accès, de portabilité, etc.), dans les meilleurs délais (maximum 30 jours, ou moins si la durée de conservation des données est inférieure), et ce même en période de congés (les vacances ne sont pas une excuse valable selon la règlementation).

  • Sensibiliser le personnel sur les risques.

  • Prendre en compte le RGPD dès la conception d’un traitement qu’il soit papier ou numérique.

  • Mettre en place un processus de remontée d’information en cas de violation de données (prévenir le DPD, celui devant avertir la CNIL dans les 72 heures, alerter les personnes concernées par la fuite d’information, etc.).

 
DOCUMENTER LA CONFORMITE

Le RGPD impose aux organismes de prouver leur conformité.

Pour cela, les responsables de traitement doivent avoir les documents suivants :

  • Le registre de traitements.

  • Les catégories d’activités de traitement lorsque la collectivité agit en sous-traitant (par exemple l’Etat-Civil)

  • Les analyse d’impact pour les traitements à risques élevés.

  • L’encadrement des transferts de données hors UE (éventuellement).

  • Les mentions d’information pour chaque processus de collecte.

  • Les modèles de recueil de consentement.

  • Les procédures mises en place pour l’exercice des droits des personnes concernées.

  • Les procédures en cas de violations de données.

  • Les contrats avec les sous-traitants.

  • Les preuves de consentement.

 
 
LE RGPD ET LES EXPERTS COMPTABLES

Les experts-comptables sont concernés par le RGPD car ils collectent et traitent des données personnelles.
Pour atteindre la conformité au RGPD, les cabinets doivent prendre des mesures techniques et organisationnelles. 

Principales exigences :

  • Registre des traitements, cartographie des activités, risques.

  • Recueil du consentement.

  • Sécurisation des données.

  • Droit à l’oubli (cycle de vie de la donnée)

L’expert-comptable agissant en qualité de sous-traitant doit :

  • Aider les responsables de traitement dans leur démarche de mise en conformité.

  • Obligation de transparence et traçabilité.

  • Prise en compte des principes de protection des données dès la conception et protection des données par défaut.

  • Garantir la sécurité des données.

  • Obligation d’assistance, d’alerte et de conseil.

  • Accountability : apporter la preuve de la conformité

Vous devez donc :

  • Désigner un pilote interne pour le RGP

  • Cartographier vos traitements

  • Etablir votre registre de traitements

  • Etablir votre registre de traitements en tant que sous-traitant

  • Mettre en œuvre un plan d’actions pour se mettre en conformité

Vous devez donc :

  • Désigner un pilote interne pour le RGP

  • Cartographier vos traitements

  • Etablir votre registre de traitements

  • Etablir votre registre de traitements en tant que sous-traitant

  • Mettre en œuvre un plan d’actions pour se mettre en conformité

Offre PHOEBE :

  • Former votre pilote 

  • Etablir vos registres selon les prescriptions CNIL

  • Vous aider à établir votre plan d’actions

  • Budget de 1500 € (2 jours) plus frais de déplacements éventuels (possibilité de prise en charge par votre OPCA)

 
LE RGPD ET LES PROFESSIONNELS DE SANTE LIBERAUX

Les professionnels de santé sont concernés par le RGPD car ils collectent et traitent des données personnelles, notamment des données de santé, considérées comme données sensibles.
Pour atteindre la conformité au RGPD, les cabinets doivent prendre des mesures techniques et organisationnelles. 

Principales exigences :

  • Registre des traitements, cartographie des activités, risques.

  • Recueil du consentement.

  • Sécurisation des données.

  • Evaluation des risques (Privacy Impact Assessment)

  • Droit à l’oubli (cycle de vie de la donnée)

  • Droit à la portabilité des données

  • Accountability : apporter la preuve de la conformité

Vous devez donc :

  • Désigner un pilote interne pour le RGP

  • Cartographier vos traitements

  • Etablir votre registre de traitements

  • Faire une évaluation du risque (PIA)

  • Mettre en œuvre un plan d’actions pour se mettre en conformité

Offre PHOEBE :

  • Former votre pilote 

  • Etablir vos registres selon les prescriptions CNIL

  • Faire un PIA

  • Budget de 1500 € (2 jours) plus frais de déplacements éventuels (possibilité de prise en charge par votre OPCA)

Besoin de plus d'infos ? Contactez nous

N'hésitez pas à nous contacter.

© 2019 by Phoebe

  • Black Facebook Icon
  • Black LinkedIn Icon

Made with wix.com