Comment maîtriser la réglementation générale sur la protection des données ?

protection des données

Une entreprise doit maîtriser le RGPD afin d’apprendre à gérer les relations entre les personnes physiques et l'autorité de contrôle, et à sécuriser les données nominatives sur le plan juridique pour être en conformité avec le RGPD.

Pourquoi désigner un délégué à la protection des données ?

Les responsables de traitements doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils doivent veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »). Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions, s’ils appartiennent au secteur public ou si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle.  Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé  de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci, de conseiller l’organisme sur la réalisation d’une analyse d'impact (AIPD) et d’en vérifier l’exécution, de contrôler le respect du règlement européen et du droit national en matière de protection des données et d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés. En outre, il est aussi nécessaire de suivre une formation RGPD afin de maîtriser de manière optimale la réglementation générale sur la protection des données.

Comment collecter les informations personnelles ?

Le  règlement générale de la protection des données prévoit que les informations collectées sur les personnes soient licites au regard de la finalité du traitement envisagé. Ces informations ne doivent pas contenir de données à caractère personnel (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques ou appartenance syndicale),  ni subjectifs ou insultants. Une attention particulière doit être portée aux données personnelles sensibles visées par l’article 9 du RGPD. La CNIL recommande donc de limiter le recours aux zones de commentaires libres. Cependant, il n’est pas toujours possible de supprimer simplement ces zones de texte libre. C’est pourquoi la CNIL recommande la réalisation d’audits réguliers et le recours à des outils automatiques vérifiant les mots contenus dans les zones commentaires doivent également être envisagés. Enfin des extractions des commentaires peuvent être réalisées régulièrement pour s’assurer du respect du RGPD. Fort de ce constat, il est important d’utiliser les solutions logicielles pour vous aider à garantir la conformité des zones de texte libre sauvegardées dans les bases de données de vos applications métiers ou sites internet.

Conseils pour aborder le RGPD avec les employés

La CNIL recommande de sensibiliser les équipes susceptibles de remplir les zones textuelles. En effet, tous les employés doivent avoir connaissance des changements apportés par le règlement et affectant diverses taches de leur  quotidien professionnel – les principes, les rôles, les responsabilités et les procédures. Alors que la formation du responsable de la protection des données de l’entreprise (DPO, CIL, PDG) semble évidente, l’absence de formation du personnel présente un risque important. Ce sont bien les employés en charge de la saisie des données personnelles, de leurs traitements ou tout simplement au contact de ces données qui représentent le risque majeur de non-conformité des données. Il est possible de suivre une formation RGPD pour réussir votre mise en conformité. Cela permet d’appréhender simplement le RGPD, et bien démarrer la mise en conformité de vos données et les traitements associés.