Transcription of se préparer en 6 étapes - CNIL
1 R glement europ enD signer un piloteCartographier vos traitements de donn es personnellesPrioriser les actionsG rer les risques Organiser les processus internesDocumenter la conformit En mai 2018, le r glement europ en sera applicable. De nombreuses formalit s aupr s de la CNIL vont dispara tre. En contrepartie, la responsabilit des organismes sera renforc e. Ils devront en effet assurer une protection optimale des donn es chaque instant et tre en mesure de la d montrer en documentant leur conformit .R glement europ ensur la protection des donn es personnellesse pr parer en 6 tapesD signer un pilotePour piloter la gouvernance des donn es personnelles de votre structure, vous aurez besoin d un v ritable chef d orchestre qui exerce une mission d information, de conseil et de contr le en interne : le d l gu la protection des donn es.
2 En attendant 2018, vous pouvez d ores et d j d signer un correspondant informatique et Libert s (CIL),qui vous donnera un temps d avance et vous permettra d organiser les actions d signation d un d l gu la protection des donn es est obligatoire en 2018 si :vous tes un organisme public,vous tes une entreprise dont l activit de base vous am ne r aliser un suivi r gulier et syst ma-tique des personnes grande chelle ou traiter grande chelle des donn es dites sensibles ou relatives des condamnations p nales et des infractions. M me si votre organisme n est pas formellement dans l obligation de d signer un d l gu la protection des donn es, il est fortement recommand de d signer une personne, disposant de relais internes, charg e de s assurer de la mise en conformit au r glement europ en.
3 Le d l gu constitue un atout majeur pour comprendre et respecter les obligations du r glement, dialoguer avec les autorit s de protection des donn es et r duire les risques de r le du d l gu la protection des donn es Chef d orchestre de la conformit en mati re de protection des donn es au sein de son organisme, le d l gu la protection des donn es est principalement charg :d informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employ s,de contr ler le respect du r glement et du droit national en mati re de protection des donn es,de conseiller l organisme sur la r alisation d tudes d impact sur la protection des donn es et d en v rifier l ex cution,de coop rer avec l autorit de contr le et d tre le point de contact de vous accompagner dans la mise en place des nouvelles obligations impos es par le r glement europ en, le d l gu doit notamment.
4 Informer sur le contenu des nouvelles obligations,sensibiliser les d cideurs sur l impact de ces nouvelles r gles,r aliser l inventaire des traitements de donn es de votre organisme,concevoir des actions de sensibilisation, piloter la conformit en aurez franchi cette tape si :vous avez d sign au sein de votre structure un pilote (un CIL qui a vocation tre d sign d l gu ), charg de mettre en uvre la conformit au r glement sur la base d une lettre de mission,vous lui avez affect les moyens humains et financiers n cessaires pour mettre en uvre ses pr parer la d signation de votre futur d l gu , d signez un CIL. TAPE 1 Cartographier vos traitements de donn es personnellesPour mesurer concr tement l impact du r glement europ en sur la protection des donn es de votre activit , commencez par recenser de fa on pr cise les traitements de donn es personnelles que vous mettez en uvre.
5 La tenue d un registre des traitements vous permet de faire le point. Dans le cadre du futur r glement, les organismes doivent tenir une documentation interne compl te sur leurs traitements de donn es personnelles et s assurer que ces traitements respectent bien les nouvelles obligations l tre en capacit de mesurer l impact du r glement sur votre activit et de r pondre cette exigence, vous devez au pr alable recenser pr cis ment :les diff rents traitements de donn es personnelles, les cat gories de donn es personnelles trait es,les objectifs poursuivis par les op rations de traitement de donn es,les acteurs (internes ou externes) qui traitent ces donn es ; vous devrez notamment clairement identifier les prestataires sous-traitants, les flux en indiquant l origine et la destination des donn es, afin notamment d identifier les ventuels transferts de donn es hors de l Union europ chaque traitement de donn es personnelles, posez-vous les questions suivantes : Vous aurez franchi cette tape si.
6 Vous avez rencontr les services et les entit s qui traitent des donn es personnelles,vous avez tabli la liste des traitements par finalit principale (et non par outil ou applicatif utilis ) et les types de donn es trait es,vous avez identifi les sous-traitants qui interviennent sur chaque traitement,vous savez qui et o les donn es sont transmises,vous savez o sont stock es vos donn es,vous savez combien de temps ces donn es sont conserv ?- D terminez le lieu o les donn es sont h berg Indiquez vers quels pays les don-n es sont ventuellement transf -r QUAND ?Indiquez, pour chaque cat gorie de donn es, combien de temps vous les ?Pr cisez les mesures de s curit mises en uvre pour minimiser les risques d acc s non autoris s aux donn es et donc d impact sur la vie priv e des personnes concern ?
7 - Inscrivez dans le registre le nom et les coordonn es du responsable du traitement (et de son repr sentant l gal) et, le cas ch ant, du d l gu la protection des donn Identifiez les responsables des services op rationnels traitant les donn es au sein de votre organisme. - Etablissez la liste des ?- Identifiez les cat gories de donn es trait Identifiez les donn es susceptibles de soulever des risques en raison de leur sensibilit particuli re (par exemple : les donn es relatives la sant ou les infractions).POURQUOI ?Indiquez la ou les finalit s pour lesquelles vous collectez ou traitez ces donn es (par exemple : gestion de la relation commerciale, gestion ).Sur vous familiariser avec le futur registre des traitements de donn es personnelles, t l chargez notre mod le de registre.
8 TAPE 2 Prioriser les actionsSur la base du registre des traitements de donn es personnelles, identifiez les actions mener pour vous conformer aux obligations actuelles et venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libert s des personnes concern es. Apr s avoir identifi les traitements de donn es personnelles mis en uvre au sein de votre organisme, vous devez, pour chacun d eux, identifier les actions mener pour vous conformer aux obligations actuelles et priorisation peut tre men e au regard des risques que font peser vos traitements sur les libert s des personnes concern es. Certaines t ches seront faciles mettre en uvre et vous permettront de progresser d attention quels que soient les traitements de donn esAssurez-vous que seules les donn es strictement n cessaires la poursuite de vos objectifs sont collect es et trait la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, int r t l gitime, contrat, obligation l gale).
9 R visez vos mentions d information afin qu elles soient conformes aux exigences du r glement. V rifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilit s, assurez-vous de l existence de clauses contractuelles rappelant les obligations du sous-traitant en mati re de s curit , de confidentialit et de protection des donn es personnelles trait voyez les modalit s d exercice des droits des personnes concern es (droit d acc s, de rectification, droit la portabilit , retrait du ).V rifiez les mesures de s curit mises en d attention n cessitant une vigilance particuli reVous aurez franchi cette tape si :vous avez mis en place les premi res mesures pour prot ger les personnes concern es par vos traitements,vous avez identifi les traitements traitez certains types de donn es :- des donn es qui r v lent l origine pr tendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l appartenance syndicale,- des donn es relatives la sant ou l orientation sexuelle,- des donn es g n tiques ou biom triques, - des donn es d infraction ou de condamnation p nale,- des donn es concernant des traitement de donn es personnelles a pour effet.
10 - la surveillance syst matique grande chelle d une zone accessible au public,- l valuation syst matique et approfondie d aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des d cisions produisant des effets juridiques l gard d une personne physique ou l affectant de mani re transf rez des donn es hors de l Union europ enne ?- V rifiez que le pays vers lequel vous transf rez les donn es est reconnu comme ad quat par la Commission europ Dans le cas contraire, encadrez vos pr parer vos contrats avec vos sous-traitants, consultez notre mod le de clause de confidentialit . TAPE 3G rer les risques Si vous avez identifi des traitements de donn es personnelles susceptibles d engendrer des risques lev s pour les droits et libert s des personnes concern es, vous devrez mener, pour chacun de ces traitements, une tude d impact sur la protection des donn es (en anglais, Privacy Impact Assessment ou PIA).
