RGPD : Avis & conseils de l’avocat

Chaque entreprise se doit de déployer une démarche DPO en son sein afin de respecter les obligations stipulées par le RGPD. Une bonne démarche DPO devrait nécessairement comporter trois volets : méthodologique, juridique et technique.

Volet méthodologique

La compréhension de la démarche de gouvernance de la donnée est la première étape. Elle nécessite pour toute entreprise de dresser son propre état des lieux et de définir sa trajectoire pour devenir conforme au règlement.

Volet juridique

Le RGPD est un texte juridique qui sera appliqué par des juristes (la CNIL) et sanctionné par des juristes. L’approche juridique est donc fondamentale. Une approche transversale, efficace et pérenne consisterait à déterminer une personne qui sera en charge des données personnelles au sein de l’entreprise et de l’associer dans les démarches de mise en place. Cette personne serait impliquée dans l’audit de l’existant et dans la détermination du « gap analysis ». Elle serait de plus associée au plan de remédiation avec chaque intervenant dans la société. Elle devrait enfin valider la rédaction de tous les documents nécessaires au RGPD tels que les contrats-types, les clauses GDPR, les clauses d’audits de sous-traitants, les cahiers des procédures, SLA (pour Service Level Agreement, ou Convention de Service en français), la modification du RI ou des contrats de travail, etc. Une fois la conformité assurée, le DPO doit être mis en capacité de remplir ses missions et notamment :

  • être systématiquement impliqué par la DSI dans tout achat de logiciel, de prestation informatique ou tout lancement de conception et développement d’une application et tout PIA ;
  • avoir des procédures documentées et pouvoir les mettre en œuvre en pratique, relatives aux droits des personnes concernées, aux relations avec les autorités, aux audits annuels, à la sécurité informatique, etc.
  • valider, avant signature, toute modification des clauses GDPR dans les contrats-types rédigés, les contrats fournisseurs, les contrats de travail, et autres ;
  • être en relation directe avec la DG et rédiger un rapport annuel pour la DG.

Le DPO peut être un prestataire externe tel un avocat ou être un salarié en interne, avec un contrat de conseil externe le cas échéant.

Volet technique

La mise en conformité pour chaque entreprise ou institution doit passer par plusieurs étapes clés comme une claire compréhension des données personnelles détenues, leurs modes de stockage et d’utilisation. Une méthodologie structurée est nécessaire afin de répondre aux demandes des clients ou usagers sur la localisation, l’usage et l’effacement des données à caractère personnel. Les entreprises sont invitées à préparer une stratégie en amont des projets pour garantir la confidentialité des données, une meilleure coordination de chaque partie prenante et notamment des fournisseurs pouvant être amenés à traiter de la donnée pour le compte de l’entreprise en s’assurant qu’ils disposent des outils suffisants pour réduire les risques de violation. Enfin toute entreprise a intérêt à avoir une méthodologie déjà préparée en amont pour savoir répondre à toute tentative de violation de données en interne.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here