Avec l’application depuis le 25 mai 2018 du Règlement General de Protection des Données (RGPD) un nouveau cadre européen prévoyant le renforcement des droits des personnes s’applique désormais à tout type d’organisation y compris les collectivités. Ce règlement est incontournable sous peine de sanctions renforcées. C’est un triple changement pour les responsables de fichiers :
• changement de culture : logique de responsabilisation des organismes
• changement d’outils (registre des traitements, analyses d’impact…)
• changement de gouvernance (Délégué à la Protection des Données)
Pour s’y conformer les collectivités doivent faire évoluer leur organisation et leurs pratiques pour intégrer ces changements de façon durable et en adoptant le principe de l’amélioration continue.
La CNIL préconise de suivre une méthode précise, et met à disposition des organisations un grand nombre d’outils sur son site notamment les analyses d’impact relatives à la protection des données :
- La méthode selon la CNIL (11 pages)
- Les modèles selon la CNIL (25 pages)
- Référentiel selon la CNIL (106 pages)
En synthèse, ce processus de transformation se décline en 6 étapes essentielles :
- Désigner en interne un pilote : un délégué à la protection des données
Pour piloter la gouvernance des données personnelles la collectivité aura besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle
- Cartographier les traitements de données personnelles
Pour mesurer l’impact du règlement européen sur la protection des données à traiter, la collectivité doit recenser ses traitements de données personnelles dans un registre de traitement.
- Prioriser les actions à mener
Sur la base de ce registre, la collectivité identifiera et priorisera les actions à mener pour se conformer aux obligations actuelles et à venir au regard des risques que font peser ces traitements sur les droits et les libertés des personnes concernées.
- Gérer les risques
Pour les traitements à risques élevés des personnes concernées, la collectivité mènera, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).
- Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, la collectivité doit mettre en place des procédures internes garantissant la prise en compte de la protection des données à tout moment des traitements (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire, etc…).
- Documenter la conformité
Pour prouver sa conformité au règlement, la collectivité devra constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
