La CNIL propose de basculer vers le GDPR en 6 étapes
Publié le 19/03/2017 par
Etienne Wery 
, Thierry Léonard
- 5448 vues
La CNIL vient de rendre public un modèle de feuille de route en vue de gérer le passage du régime juridique actuel vers le nouveau règlement européen. Elle propose une méthodologie en 6 étapes, à suivre et à adapter à chaque cas d’espèce.
Il reste à peine une grosse année avant l’entrée en vigueur du GDPR. Autant dire qu’il est grand temps de s’y mettre. Les entreprises qui n’ont pas encore constitué une task force sur ce sujet seraient bien avisées de mettre les bouchées doubles pendant les mois qui viennent.
Si vous n’avez pas encore toutes les informations pertinentes, commencez par consulter le site de référence GDPR-expert sur lequel vous pourrez, pour chaque article du nouveau règlement, consulter :
- le texte du Règlement ;
- le texte correspondant de (l’ancienne) Directive ;
- le texte correspondant de la loi française ;
- le texte correspondant de la loi belge ;
- le(s) considérant(s) pertinents du règlement ;
- les versions intermédiaires du règlement.
En outre, pour chaque article du Règlement, vous aurez accès à trois analyses :
- D’où vient-on ? ;
- Où va-t-on ? ;
- Problèmes probables ?
Ceci fait, vous comprendrez mieux la méthodologie en 6 étapes proposée par la CNIL.
Étape 1 : Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.
Plus d’infos sur cette étape
Étape 2 : Cartographier vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
Plus d’infos sur cette étape
Étape 3 : Prioriser les actions à mener
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Plus d’infos sur cette étape
Étape 4 : Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
Plus d’infos sur cette étape
Étape 5 : Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Plus d’infos sur cette étape
Étape 6 : Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Plus d’infos sur cette étape
