• Sourd ou malentendant ?
  • 0 811 702 703
    prix d'un appel local depuis un poste fixe

RGPD : quatre étapes pour bien vous préparer

Mis à jour le mardi 19 juin 2018

Acteurs publics, avez-vous pris les devants pour être en conformité avec le RGPD, Règlement général de protection des données, en vigueur le 25 mai 2018 ? L'UGAP décrypte les leviers à activer dès maintenant pour vous mettre en règle.

Date butoir, le 25 mai 2018, est l'échéance fixée aux acteurs publics comme privés pour être en conformité avec le RGPD, Règlement général de protection des données. S'il ne vous reste plus que quelques mois pour répondre à vos obligations, deux tiers des acteurs concernés auraient un important effort à fournir selon une enquête KPMG.

C'est dire l'urgence de s'atteler à un tel chantier, au risque d'être exposé, sinon, à des sanctions lourdes : des amendes jusqu'à 20 M€. Alors comment rendre votre traitement des données personnelles compatibles avec ce règlement européen, bien plus exigeant que la loi Informatique et Libertés de 1978 portée par la CNIL ? L'UGAP dresse, pour vous, un tour d'horizon des leviers clés à activer.

1/ Réaliser un état des lieux

Si le RGPD impose les mêmes obligations à tous - comme celle de démontrer votre « accountability », à savoir, prouver à tout moment comment les données personnelles sont collectées et protégées - « tous les acteurs publics ne partent pas du même stade en la matière. D'où la nécessité de réaliser un diagnostic afin de mettre en évidence l'ampleur des actions à déployer pour être en conformité », indique Reza Bacha, chef du département marketing produits informatiques à l'UGAP. Et de rappeler que « dans diverses structures publiques, les politiques de traitement des données font encore défaut, faute de moyens : hôpitaux manipulant moult informations sur la santé des patients, écoles engagées dans des programmes d'éducation numérique avec leurs élèves... ».

Quelles sont mes données sensibles et quid de leur nombre ? Comment les catégoriser pour mieux les identifier ? Ou sont-elles hébergées et par qui ? Pour réaliser cette cartographie précise, un état des lieux s'impose. « Ce qui suppose bien souvent l'expertise de cabinets de conseil pour adapter le projet de mise en conformité aux spécificités et moyens de l'organisme », indique le responsable à l'UGAP qui a ciblé dans son offre, divers prestataires ad hoc.

Reza Bacha

Reza Bacha, chef du département marketing produits informatiques à l'UGAP

2/ Identifier un délégué à la protection des données

C'est une mesure phare du RGPD : la désignation en interne d'un délégué à la protection des données. Pilote de la gouvernance des données personnelles de votre structure, ce chef d'orchestre a pour lourde tâche de coordonner toutes les actions de mise en conformité.

« Si une telle nomination dans les délais impartis relève de la gageure - surtout chez les acteurs publics dépourvus de 'correspondant informatique et libertés' tel que recommandé par la CNIL –, estime Reza Bacha, une alternative s'impose : être accompagné, là encore, par un cabinet de conseil pour identifier progressivement le profil adéquat dans l'organigramme et dimensionner le périmètre de son poste et les missions associées ».

3/ Prioriser les actions

On l'aura compris, la sécurisation des données personnelles allie autant volet RH, qu'organisationnel ou technique. « C'est un véritable projet d'entreprise qui suppose une prise de conscience de l'enjeu d'un tel chantier à tous les étages de l'organisation. D'où l'importance du rôle du délégué qui va coordonner les savoir-faire en interne comme en externe, et ce, pour prioriser, in fine, les actions à mener », commente Reza Bacha.

Cette priorisation doit être menée à l'aune des risques que font peser vos traitements de données personnelles sur les libertés des personnes concernées. Certaines tâches pourront être réalisées aisément « via le recours à des logiciels adaptés de traitement des données ou de protection des réseaux, notamment disponibles à l'UGAP », indique Reza Bacha, en rappelant « que tous les clients publics n'ont pas en interne tous les outils/ressources nécessaires ».

4/ Maintenir la conformité dans le temps

Le RGPD est formel : la protection des données personnelles doit s'imposer en amont de la conception de tout projet « mais aussi être maintenue dans le temps », rappelle Reza Bacha, « puisque toute personne concernée pourrait désormais s'opposer à la collecte de telle ou telle donnée ».

Pour assurer en permanence un haut niveau de protection et de traçabilité de ces données, des procédures doivent être implémentées par le délégué désigné, avec l'appui du cabinet de conseil, si sa mission n'est pas terminée. Ces process encadrent les aléas survenant au cours de la vie d'un traitement : gestion des demandes de rectification ou d'accès, modification ou suppression de telle collecte, changement de prestataire… Mais aussi, une faille de sécurité « à l'heure où les acteurs publics sont toujours plus confrontés aux cybermenaces », prévient Reza Bacha, pour qui « l'enjeu clé de la cybersécurité peut être le catalyseur d'une prise de conscience quant à la nécessité de se mettre au plus vite en conformité ».

Articles associés

L'UGAP adhère au code déontologique de la Fevad et au système de Médiation du e-commerce.