Avec l’entrée en application du RGPD, les formalités requises auprès de la CNIL sont supprimées. Toutefois, en application du principe de l’« accountability », les entreprises sont tenues de prouver leur conformité, en la documentant.
Les 6 étapes
Pour les aider dans leur démarche, la CNIL a publié un plan de mise en conformité en 6 étapes :
- Nommer un DPO (Data Protection Officer) : pour piloter la gouvernance des données à caractère personnel, les organisations (dans certains cas) sont tenues de nommer un véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle : le délégué à la protection des données.
- Cartographier les traitements des données à caractère personnel : pour mesurer concrètement l’impact du RGPD, les organisations commencent par recenser de façon précise les traitements de données à caractère personnel. La tenue d’un registre des activités de traitement leur permet de faire le point sur cette étape.
- Prioriser les actions à mener : sur la base du registre des activités de traitement, les organisations identifient les actions à mener pour se conformer aux obligations du RGPD. Elles doivent prioriser leurs actions au regard des risques que font peser leurs traitements sur les droits et les libertés des personnes concernées.
- Gérer les risques : si les organisations identifient des traitements de données à caractère personnel susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, elles doivent mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (DPIA).
- Organiser les processus internes : pour garantir un haut niveau de protection des données à caractère personnel en permanence, les organisations doivent mettre en place des procédures internes qui garantissent la protection des données à caractère personnel à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
- Documenter la conformité : pour prouver leur conformité avec le RGPD, les organisations doivent constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données à caractère personnel en continu.