Posté le : 4 janvier 2018 Par : BlogEuropages

GDPR2-Europages

Le nouveau Règlement général sur la protection des Données à caractère Personnel (ou General Data Protection Regulation -GDPR), qui va s’appliquer à partir du 25 mai prochain, implique de nombreux changements pour les entreprises européennes. Le point sur les 50 bonnes questions à se poser et les mesures techniques à mettre en place avec trois organisations professionnelles françaises du secteur (Cigref, AFAI et Tech In France), qui viennent de publier un Guide pratique à ce sujet.

50 bonnes questions à se poser. Intitulé «Entreprises, les clés d’une application réussie du GDPR », ce guide pratique explique ce qui change pour les entreprises (voir notre article précédent) et dresse une check-list des bonnes questions à se poser. Dans les 50 questions qu’il faut se poser pour vérifier sa conformité avec le GDPR, 16 concernent la gouvernance, 18 les métiers et 16 le système d’information et la cyber sécurité (voir la liste complète dans le document). Parmi celles-ci, on peut citer :

– Avez-vous nommé un DPO (Délégué à la protection des données) ?
– Pouvez-vous justifier la base légale de chacun de vos traitements ?
– Si vous collectez des données sensibles, avez-vous vérifié la licéité de leur collecte et traitement ?
– Avez-vous défini contractuellement avec vos sous-traitants informatiques des exigences en termes de protection des données ?
– Avez-vous défini des critères de décision pour déterminer si une étude d’impact sur la vie privée (DPIA) était nécessaire ?
– Avez-vous mis en place des mécanismes de protection des données personnelles (notamment chiffrement ou pseudonymisation) ?

Mesures techniques à mettre en place. Si votre entreprise compte plus de 250 salariés ou si elle est en dessous de ce seuil mais traite de données personnelles de façon non occasionnelle, elle devra mettre en place un registre des activités de traitement. Il représente l’outil de base de la gestion opérationnelle de la conformité et constitue la première obligation de preuve de la conformité.

Autre document obligatoire : le DPIA pour Data Protection Impact Assessment pour les traitements présentant un risque important pour la protection des données personnelles et leurs impacts sur les droits et libertés des personnes concernées par ces traitements. Enfin, un DPO (Data Protection Officer) doit être nommé dès lors qu’une entreprise traite des données personnelles à grande échelle. Il a également pour mission d’être l’intermédiaire entre la CNIL et les entreprises afin que ces dernières puissent adapter en temps réel leurs traitements aux exigences du GDPR.

Et pour bénéficier de conseils dans ce domaine, n’hésitez pas à vous faire aider par votre conseiller Europages !


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *