Quel est le temps requis pour une mise en conformité total au GDPR ?
Depuis le 25 mai 2018, l’Union européenne requiert que toutes les entreprises traitant[1] des données à caractère personnel[2] se plient au RGPD (Règlement Général sur la Protection des Données – ou en Anglais, General Data Protection Regulation/GDPR). Il est donc essentiel, si votre organisation traite ce type de données, d’être en conformité avec l’ensemble de ces règles.
Rentrer en conformité avec les obligations légales du GDPR n’est pas de tout repos. Il s’agira de mettre en place un processus de manière à ce que la législation soit respectée en bonne et due forme au fil des années. Un investissement ponctuel vis-à-vis du GDPR ne sera donc pas la bonne stratégie à adopter. Au contraire, un entretien régulier et consciencieux sera d’autant plus apprécié par les autorités de surveillance (Autorité de la Protection des Données – APD en Belgique).
Par ailleurs, il va de soi que le temps nécessaire pour la bonne implémentation du GDPR sera fonction du secteur dans laquelle votre organisation se développe mais également de sa taille et sa structure. Ces paramètres influenceront le nombre de données à caractères personnelles que votre organisation traitera.
i. Les 6 facteurs incontournables pour être en conformité avec le GDPR
Afin d’être en conformité avec les obligations légales, l’organisation veillera à respecter ces différents points. Les données personnelles devront être :
- Traitées de manière légale, transparente et que leur utilisation soit facile à comprendre pour la personne concernée ;
- Pertinentes et limitées à l’objectif poursuivi ;
- Collectées dans un but déterminé, explicite et légal ;
- Exactes et tenues à jour ;
- Conservées uniquement durant le délai nécessaire au traitement poursuivi et ;
- Traitées en prenant des mesures de sécurité informatique adéquates.
ii. Une prise en charge interne ou externe ?
Les nouvelles réglementations relatives au GDPR permettent aux entreprises désignées d’externaliser le processus de mise en conformité. Généralement, ce processus est géré par un Délégué à la Protection des Données (DPD – ou en Anglais Data Protection Officer/DPO).
L’organisation tenue de se plier aux nouvelles normes pourra soit désigner son DPO en interne, soit faire appel à une organisation externe proposant ce type de service (DPO as a service). Externaliser ce processus vous procurera de nombreux avantages : Indépendance vis-à-vis de la sécurité informatique, absence de conflits d’intérêts, coûts maitrisés, expertise assurée et formation continue, renforts possibles, …
iii. Quelles sont les grandes étapes à réaliser pour être en conformité avec le GDPR ?
5 grandes étapes sont nécessaires à la bonne mise en place des normes relatives au GDPR.
- Nommez un DPO, en interne ou externe. Celui-ci sera le véritable chef d’orchestre pour l’implémentation du GDPR et sera le premier point de contact ;
- Cartographiez vos traitements de données à caractère personnel susceptibles de rentrer dans le champ d’application du GDPR.
- Priorisez les actions à mener pour vous conformer le plus rapidement possible au GDPR ;
- Réalisez une analyse d’impacts relative à la protection des données (AIPD). Déterminez quelles sont les données comportant un haut risque en matière droits et libertés des personnes.
- Etablissez des processus internes de manière à assurer la protection des données au sein de votre organisation (Sensibilisation, anticipation, …).
- Mettez-vous à jour en matière de documentation afin de prouver votre conformité au règlement.
Comme vous pouvez l’imaginer, la mise en place d’un tel processus demande du temps et nécessite un suivi permanent. Des nouvelles données personnelles transitent certainement tous les jours au sein de votre entreprise et celles-ci doivent être correctement traitées.
[1] Toutes opérations sur des données personnelles tel que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou mise à disposition, la suppression, la destruction. (Art 4 (2)).
[2] toute information qui se rapporte à une personne physique identifiée ou identifiable ( nom, numéro national, données de localisation, identifiant en ligne… ) appelée personne concernée. (Art 5 (1)).