RGDP, les actions prioritaires à mettre en œuvre par les entreprises.

Interviewé par Les Affiches Parisiennes, Guillaume Desgens-Pasanau, ancien directeur juridique de la CNIL devenu magistrat, décrypte les enjeux du règlement européen sur la protection des données, et indique aux entreprises les actions prioritaires à mettre en œuvre dès aujourd’hui pour se mettre en conformité avec le RGPD qui entrera en vigueur le 25 mai 2018.

Affiches Parisiennes : Quel est le rôle de la CNIL à ce moment charnière ?

Guillaume Desgens-Pasanau : La CNIL a mis en place tout un programme d’accompagnement des professionnels dans le contexte du RGPD qui se traduit, pour le moment, surtout par des contenus qu’elle met en ligne sur son site. Par exemple, elle vient d’ajouter un outil pour faire des tests sur les analyses d’impacts sur la protection des données. Elle a aussi mis en ligne des modèles de clauses à insérer dans les contrats conclus avec des partenaires, notamment dans les contrats de sous-traitance. La CNIL met à disposition des outils que les professionnels pourront utiliser mais cela reste assez général.

Ensuite, il y a la possibilité de contacter la CNIL qui dispose d’un service téléphonique de renseignement des correspondants informatique et libertés (CIL). Ainsi, toutes les structures ayant désigné un CIL ou un DPD peuvent poser des questions via cette hotline.

Au-delà de ça, il y a toujours la possibilité de contacter le service juridique, notamment pour faire ce qu’on appelle des demandes de conseil.

A.-P. : Que doivent faire les entreprises en priorité ?

G. D.-P. : La première chose à faire est de recenser les traitements de données existants dans l’entreprise, avec le responsable du système d’information et les différents services opérationnels. Il faut pouvoir identifier les fichiers de données soumis au RGPD et évaluer leur ampleur. Il faut aussi recenser tous les logiciels et applications utilisés. Ce travail de recensement et de classification sert à lister les grandes finalités de traitement qui seront enregistrées et tenues à jour dans un «  registre de traitement  » public.

Ensuite, il faut désigner un référent qui va coordonner les différentes actions de conformité et de protection à mettre en œuvre. Ces actions sont de trois natures : juridique, par exemple avec la vérification de la durée de conservation et de prescription des données ou les mentions d’information à faire figurer sur les contrats ; technique avec la dimension de sécurité informatique ; et organisationnelle avec notamment la gestion des droits d’accès aux données des personnes.

Évidemment, plus les traitements de données sont nombreux, plus ils sont complexes et plus il y a de travail à faire. C’est variable en fonction des données traitées. Une PME qui a simplement deux petits fichiers clients et de ressources humaines n’aura certainement pas des milliers de choses à faire pour se mettre en conformité, à l’inverse de l’entreprise qui traite des données de santé par exemple.

(…)

Nous vous proposons de retrouver l’article complet sur le site de notre partenaire Les Affiches Parisiennes.

Rédaction du site des Experts de l’entreprise.