Les obligations mises à la charge des entreprises : documenter la conformité
Le 25 mai 2018, le règlement général sur la protection des données personnelles, le RGPD, entrera en vigueur et à cette date, les entreprises devront avoir mis leurs pratiques en conformité avec ses prescriptions et le prouver. Pour ce faire, il leur faudra rassembler la documentation nécessaire et l’actualiser régulièrement. Voici la marche à suivre pour bien réaliser l’obligation de documentation.
La documentation relative au traitement des données
Elle concerne trois dispositifs majeurs du RGPD : le registre de traitement, l’analyse d’impact et l’encadrement des transferts.
- Le registre de traitement :
Les entreprises doivent recenser dans ce registre les traitements de données à caractère personnel qu’elles réalisent. Celui-ci doit faire apparaître :
- Les différentes catégories de données personnelles recueillies, traitées et stockées
- La finalité du traitement
- L’identification des opérateurs intérieurs et extérieurs à l’entreprise qui s’occupent des données
- Le parcours des données personnelles, particulièrement si elles sont transmises à des états non membre de l’Union Européenne.
Le registre de traitement doit être complet et doit être régulièrement mis à jour.
- L’analyse d’impact :
Parfois les traitements envisagés comportent un risque élevé pour les droits et les libertés des personnes concernées, comme c’est notamment le cas lorsque les données sont dites à caractère sensible (quand par exemple, elles révèlent les orientations sexuelles, politiques ou religieuses des personnes concernées). L’entreprise doit, avant de lancer le traitement, mener une analyse d’impact. Celle-ci a pour but de quantifier le risque encouru et de déterminer si la CNIL doit être consultée.
L’analyse d’impact doit également être exhaustive et actualisée régulièrement.
- L’encadrement du transfert des données :
Lorsque l’entreprise est un groupe et qu’elle possède des structures implantées en dehors de l’UE, elle doit mettre en place un code de conduite appelé BCR (Binding Corporate Rules). Celui-ci a pour but d’assurer la sécurisation optimale et uniforme des données à caractère personnel susceptibles d’être transférées pour toutes les entités du groupe.
La mise en conformité des BCR et des certifications doit apparaître dans la documentation de l’entreprise.
La documentation relative à l’information des personnes
Les droits des personnes sont renforcés par le RGPD, et pour prouver leur responsabilisation et leur conformité, les entreprises doivent faire figurer dans leur documentation les informations données aux personnes concernées.
- Les mentions d’information :
Les entreprises doivent satisfaire à l’obligation de transparence dans le recueil des données. C’est ainsi que la nature et la finalité du traitement doivent être expliquées clairement aux personnes concernées. Le langage utilisé ne doit pas être technique.
Les mentions d’information doivent figurer dans la documentation de conformité.
- Le recueil du consentement
Le consentement des personnes concernées à un traitement de données à caractère personnel doit être expressément recueilli. Le responsable doit être en mesure de prouver à chaque instant à la CNIL que tel est bien le cas, c’est pourquoi l’accord de la personne doit apparaître explicitement, par le biais par exemple d’une case à cocher.
Le recueil du consentement doit être démontré dans la documentation de conformité.
- Les procédures mises en place pour permettre aux personnes d’exercer leurs droits
Le responsable du traitement, éventuellement aidé du DPO (Data Protection Organiser) ou DPD (Délégué à la Protection des Données), a pour obligation de mettre en place des procédures qui assurent aux personnes concernées de pouvoir exercer leurs droits à chaque moment du traitement.
Pour répondre, par exemple, à l’obligation de faciliter le droit à la portabilité des données, l’entreprise doit mettre en œuvre un procédé permettant aux personnes de télécharger leurs données sur un format lisible.
La mise à jour des contrats de l’entreprise
Le RGPD impacte fortement la vie des entreprises et par exemple, l’obligation de déclaration des traitements disparaît au profit du principe de responsabilisation. Ainsi, les contrats deviennent obsolètes et il convient de mettre à jour certaines clauses, celles par exemple qui définissent la responsabilité des sous-traitants.
Les procédures internes qui prévoyaient la conduite à tenir en cas de violation des données doivent également être mises à jour.