Il est obligatoire de documenter sa conformité (accountability).
Auparavant une des obligations principales était de déclarer ses traitements à la CNIL.
Cela a quasiment disparu et est remplacé par l’obligation de documenter sa conformité.
L’article 5 du RGPD dit qu’un responsable de traitement doit être en mesure de démontrer que les principes de protection sont respectés.
L’article 24 précise que compte tenu de la nature, de la portée, du contexte, des finalités du traitement et des risques, du degré de probabilité et de gravité pour les personnes physiques, le responsable de traitement doit mettre en œuvre les mesures techniques et/ou organisationnelles pour pouvoir démontrer que le traitement est conforme au RGPD.
Il faut donc se constituer un gros classeur dans lequel on va indiquer tout ce qu’on fait pour être en conformité: les procédures, les manuels d’utilisation des logiciels, le registre des traitements… Il existe maintenant des applications en ligne qui permettent d’aider à cette collecte.
Le but étant d’être en capacité de prouver à la CNIL, ou auprès d’un juge qu’on a bien fait les efforts de mise en conformité.
Pourquoi cette obligation de documentation est si importante ? Parce que le RGPD responsabilise le responsable du traitement et lui dit: « Vous organisez vous-même votre conformité. Et vous l’organisez en fonction de vos contraintes, en fonction de votre organisation interne et des risques que vous avez identifiés. »
Le règlement européen nous demande d’identifier les traitements où il y a du risque.
En fonction de toutes ses spécificités et contraintes internes, le responsable de traitement va être autonome dans l’organisation de sa conformité, mais en contrepartie, il doit être capable de tout justifier.
Mais ce n’est pas de l’autorégulation, car la CNIL, ou le juge, peuvent contrôler si l’entreprise respecte la réglementation.
Il faut donc avoir en tête la check-list des points les plus importants à respecter sur tout projet informatique, et que l’on va documenter.
Ce sont les 10 points les plus importants :
- Vérifier que la loi informatique et libertés s’applique bien au traitement. Est-ce bien des données personnelles, suis-je le responsable du traitement ? Si je n’ai qu’une posture de sous-traitant, quelles sont exactement mes obligations ?
- Est-ce que j’ai bien organisé la documentation de ma conformité ? Si la CNIL vient chez moi qu’est-ce que je suis capable de montrer, de donner ?
- Est-ce que je respecte bien le principe de collecte loyale et proportionnée des données ? Pour résumer on peut faire tout ce que qu’on veut avec des données dès lors que l’on ne va pas trop loin par rapport au but qui vous conduit à collecter de la donnée, par exemple à des fins commerciales, par rapport aux intérêts de la personne fichée, les droits dont elle bénéficie.
- Est-ce que j’ai mis en place une politique de durée de conservation, voire d’archivage? Car quand on met en place un traitement, on n’a pas le droit de conserver les données personnelles pour des durées illimitées.
- La sécurité et la confidentialité des données sont-elles garanties ? Comment ?
- On est là à la frontière du juridique et du technique, puisqu’un des sujets importants, c’est protéger les données contre des accès non autorisés, contre des failles de sécurité. Et à ce titre, je dois pouvoir démontrer que j’ai mis en place une PSSI, une politique de protection de mes données personnelles.
- Est-ce qu’il y a des données collectées qui relèveraient d’un régime un peu particulier ? Par exemple relatives à la santé des personnes, à leurs opinions politiques, religieuses, philosophiques, à leur vie sexuelle, … toutes ces données ne peuvent être collectées qu’avec des précautions maximum parce que la réglementation prévoit des règles restrictives en la matière.
- Des données sont-elles envoyées en dehors de l’Union européenne ?Il y a des règles particulières à respecter.
Est-ce que j’ai bien mis en œuvre des procédures pour m’assurer du respect des droits des personnes ? Droit à l’information préalable, droit au consentement dans certains cas, droit d’accès aux données, droit d’opposition, … Est-ce que je suis organisé être en capacité de répondre aux demandes qui me seront adressées ? - Y a-t-il des formalités à réaliser auprès de la CNIL ? Il n’y a presque plus de déclaration à faire à la CNIL. Mais il reste quelques cas… Et peut-être faut-il faire des « études d’impact », car pour certains types très particuliers de traitement il faut rédiger un document d’analyse des risques en matière de protection des données.
- Est-ce qu’il faut désigner un délégué à la protection des données ? Dans certains cas c’est obligatoire. C’est le référent interne informatique et libertés, celui qui va devoir veiller à ce que les règles soient respectées.
DPO
