Conformité RGPD : la check-list du DPO
Le DPO (Data Protection Officer ou délégué à la protection des données) est le pilote du programme de mise en conformité GDPR (General Data Protection Regulation) ou RGPD (règlement général de protection des données). Le DPO n’est pas personnellement responsable en cas de non-conformité. C’est le responsable de traitement (data controller) et le(s) sous-traitant(s) (data processor) qui doivent respecter leurs obligations légales respectives. Néanmoins, en tant que pilote, le DPO a naturellement un rôle majeur à jouer :
- Comment s’assure-t-il du niveau de conformité ?
- Avec quelle check-list ?
- Par quoi commencer ?
- Faire un état de l’existant en se concentrant sur les points suivants :
- Préciser le périmètre. Il correspond généralement aux activités de la société (ou des sociétés) pour laquelle (ou lesquelles) le DPO est désigné.
- Cartographier les traitements existants (en commençant par des questionnaires d’autoévaluation et en affinant avec des ateliers ciblés). Il est important d’aborder a minima les aspects suivants : finalités, types de données, sous-traitants, transmission des données, localisation, temps de conservation, base juridique (consentement, obligation légale…). Si une cartographie des SI orientée cybersécurité est disponible, cela peut facilitier ce travail.
- Faire une revue des déclarations existantes (soit depuis le registre interne si un correspondant était en place, soit au travers des autorités nationales – « Supervisory Authority », CNIL pour la France).
- Constituer le registre des traitements (liste et fiches) et l’alimenter avec les informations recueillies (on peut s’inspirer du modèle proposé par la CNIL).
- Evaluer un premier niveau de conformité des traitements existants en se concentrant sur les éléments suivants : mentions d’informations, clauses contractuelles, droits des personnes, niveau de sécurité, données sensibles (santé ou biométrie par exemple), profilage et transfert en dehors de l’union européenne. Piloter la mise en place du plan d’actions de remédiation des points faibles ou manquants.
- Mettre au point les critères pour décider si une analyse des risques est nécessaire – PIA (Privacy Impact Analysis) ou AIPD étant le terme retenu dans le règlement - et définir une méthode en visant la simplicité. La CNIL propose un logiciel gratuit en support.
- Définir les processus internes et rédiger les procédures pour traiter les traitements à venir :
- Mettre en place une check-list d'évaluation à destination des départements métiers et supports.
- Clarifier les rôles et responsabilités.
- Sensibiliser les collaborateurs sur le processus.
- Rédiger les procédures de gestion des plaintes, de notification des incidents vers les autorités et les personnes concernés (data subjects) ou vers le responsable de traitement pour les sous-traitants.
- Mettre en place un système rigoureux pour faciliter l’accès à la mise à jour de la documentation ainsi que la conservation des preuves de conformité :
- Mentions d’information.
- Modèles de recueil du consentement des personnes concernées.
- Procédures pour l’exercice des droits des personnes.
- Contrats avec les sous-traitants.
- “Binding Corporate Rules” pour les groupes.
- Preuves de consentement lorsque le traitement repose sur cette base.
PROSICA propose des missions de conseil et des formations pour assister les DPO. Demandez un rendez-vous avec un de nos consultants spécialisés pour définir la meilleure démarche à suivre (contact at prosica.fr) ou identifier la meilleure formation (formation at prosica.fr). Une formation de deux jours orientée sur le DPO et les bases du règlement est organisée régulièrement à Paris ou en mode intra. Cette formation constitue aussi une excellente base pour passer la certification professionnelle CIPP/E de l’IAPP (International Association of Privacy Professionals).
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :