le 29/08/2017

La mise en conformité au Règlement général sur la protection des données qui entre en vigueur en mai 2018

Comme nous l’avons écrit en mai dernier, en prévision de l’application du RGPD, les organismes publics doivent mettre en place les actions nécessaires à la conformité du traitement des données personnelles au RGPD.

Des collectivités territoriales ont commencé à s’organiser à cette fin.

Le processus de mise en conformité nécessite du temps, de la méthode et une certaine expertise pour analyser le caractère personnel ou non des données en jeu.

Ce processus doit être engagé sans délai si l’organisme public ou la structure privée ne veut pas risquer les lourdes sanctions prévues.

Les défis sont nombreux, particulièrement pour les organismes publics qui doivent mettre en place l’open data.

Il faut procéder à un audit des données personnelles traitées et des systèmes de traitement, documenter les procédures existantes et celles qui vont être mises en place, informer les personnes concernées des droits conférés par la Loi et le Règlement sur leurs données personnelles (droit d’accès, droit de portabilité, droit à l’oubli), obtenir les autorisations non recueillies pour l’utilisation des données, mettre en place des dispositifs de sécurisation, de traçabilité et de stockage des données fiables et performant, les transferts de données, documenter toutes les procédures afin de les regrouper dans le registre futur, anticiper les risques. Ces actions doivent être conduites pour les données à caractère personnel déjà collectées et pour le flux.

Rappelons qu’il appartient à toute structure ou organisme public ou privée concernée de pouvoir à tout moment justifier de sa conformité au RGPD.

Les technologies mises en œuvre dans les smart cities qui captent d’importantes quantités d’informations et de données personnelles sont particulièrement visées. Il importe de mettre en place des clauses contractuelles précises sur la responsabilité des intervenants.

C’est aussi le cas de toute structure utilisant  des systèmes de gestion de données, de vidéosurveillance ou de vidéo protection, les hôpitaux qui gèrent les dossiers administratifs des malades etc…

La visibilité de la conformité de l’organisme ou de la collectivité au RGPD est un gage de confiance et de qualité pour les usagers ou les administrés. C’est une manière de communiquer dont les personnes publiques ou privées vont pourvoir prendre avantage.

La mission du CIL, en attendant la désignation d’un DPO, est essentielle dans l’accompagnement de la mise en conformité.

Les collectivités vont pouvoir mutualiser cet accompagnement, ce que leur permet le RGPD.

Un premier retour des actions entreprises par les territoires expérimentaux, courant septembre 2017, sera très instructif.