Le Règlement général sur la protection des données (RGPD) est un dispositif visant à encadrer le traitement des données personnelles dans l'Union européenne en harmonisant les règles de chaque pays membre. La mise en place de ce cadre juridique pour les professionnels permet le développement d'un environnement basé sur le respect mutuel et la confiance entre les utilisateurs, ce qui incite de nombreux gouvernements à imposer des mesures de mise en conformité rapide. Les personnes concernées peuvent notamment recourir à divers outils pour assurer le processus de régularisation de l'utilisation des données.
Organiser le traitement des données !
· Logiciel de registre des activités
La collecte d'informations selon le RGPD nécessite la mise en place d'un registre recensant l'ensemble des traitements de données, ce qui permet d'avoir une vision relativement claire de l'opération de collecte. Au sein d'une entreprise, le registre est tenu par le DPO ou un sous-traitant via un logiciel RGPD spécialisé, et selon un modèle reconnu par la Commission Nationale Informatique et Liberté (CNIL). En effet, ce dernier est tenu de créer une fiche pour chaque activité répertoriée, précisant divers détails (noms, coordonnées, objectifs, sécurité, etc.), et aboutit à l'établissement d'une collection exhaustive à mettre à jour régulièrement sur la même plateforme. C'est l'occasion de sensibiliser le personnel aux enjeux de la protection des données.
· Le guide pour la transmission à des tiers
La mise en conformité prend également en compte la manière de partager avec les autorités autorisées à obtenir les données. Pour cela, un guide pratique contenant les points essentiels à vérifier est proposé par la CNIL afin de garantir l'exactitude des informations, et l'accès des acteurs à l'ensemble des données.
· Analyse d’impact
Certains types de données sont susceptibles de compromettre la liberté ou les droits des personnes dont les données sont présentes dans le registre, et toutes les institutions tenues de suivre le RGPD doivent réaliser une étude mesurant les risques pour la vie privée. Dans ce cas, l’Analyse d’Impact Relative à la Protection des Données (AIPD) reste l'outil le plus adapté pour quantifier les dangers éventuels, et elle est généralement utilisée par le responsable du traitement des données. Par ailleurs, l’AIPD est proposée en version prête à l'emploi et est déployée sur des serveurs pour s'intégrer immédiatement aux autres outils.
Données : sécurité et risque !
· Le référentiel recommandé
Les cadres de référence élaborés par la CNIL servent d'outils réglementaires pour renforcer la sécurité juridique des établissements concernés par le RGPD. De plus, ils sont directement issus de la concertation avec les domaines concernés et conduisent à la formation de lignes directrices remplaçant les anciennes normes. Par conséquent, le règlement type est un outil qui permet aux organisations de former un environnement professionnel qui encadre correctement le traitement des données de différentes natures (violation, biométrique, génétique, etc.) tout en assurant leur sécurité.
· La gestion des failles potentielles
Le secteur de la santé nécessite également des adaptations suite à l'accumulation de données sensibles, et tout établissement travaillant dans ce domaine est généralement tenu de déclarer sa conformité à la CNIL. En outre, les traitements de données nécessitant une déclaration rgpd doivent faire l'objet d'une demande d'autorisation auprès de l'INDS, puis être transmis à la CNIL. En revanche, les entités conformes au RGPD peuvent bénéficier d'un allègement des formalités ou d'une dispense totale, et des consultations sont d'ailleurs organisées dans le but d'accélérer la conception de référentiels plus adaptés.
La reconnaissance et le niveau de transparence !
· La certification
Le suivi des etapes rgpd se termine par un engagement des organismes à démontrer leur capacité à se conformer à la réglementation précitée et à échanger avec le public au travers d'une solution de confiance. Dans ce cas, l'adhésion à un cadre qui favorise le respect des exigences communes en matière de protection des données permet à l'entreprise de recevoir une certification, qui sert également d'outil de conformité pour la communication sur la protection des données des systèmes, services et processus utilisant des données. A noter que les critères de certification peuvent être rédigés par la CNIL ou un organisme privé avant d'être approuvés et révisés.
· Le code de conduite
Le code de conduite est un outil de responsabilisation qui s'applique exclusivement au processus de conformité RGPD et qui est essentiel pour illustrer le respect des bonnes pratiques adoptées par les membres. Cependant, le code de conduite reste un élément juridiquement contraignant car il est mandaté, ajoutant que sa bonne application est contrôlée par un tiers.