L’entrée en vigueur imminente du Règlement général sur la protection des données ou RGPD pour les intimes, c’est le sujet qui a attiré l’attention de CultureCom lors du Sitem 2018.
C’est une thématique brûlante pour les établissements culturels (et en particulier pour les petites structures) qui n’ont pas les postes supports pour prendre en main cette problématique.
Signe des temps, des arnaques commencent à fleurir çà et là promettant (à qui veut bien l’entendre) une mise au norme RGPD moyennant finance.
https://www.cnil.fr/fr/vigilance-mise-en-conformite-rgpd
Culture Com vous propose un article synthétique pour maîtriser les éléments clefs de la réforme ainsi qu’une infographie !
Les faits :
Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Étape 1 Y-a-t’il un pilote dans l’avion ?
INTOX : Obligation de nommer un Délégué à la Protection des Données (ou Data Protection Officer (DPO).
DETOX : Ce délégué à la protection des données est une personne chargée de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par l’organisme.
Sa désignation est très fortement conseillée, mais pas obligatoire, sauf pour :
- Les autorités ou organismes publics
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions
Même si ce n’est pas obligatoire pour votre structure, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », cela vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.
Comment devenir délégué ?
https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees
Etape 2 CARTOGRAPHIER
INTOX : Obligation de tenir un registre de l’ensemble des traitements réalisés sur la base.
DETOX
Ce registre ne concerne que les entreprises de plus de 250 salariés, sauf si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernés, s’il n’est pas occasionnel ou s’il porte sur des catégories de données particulières (cf article 9 et 10).
“Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre. La tenue d’un registre des traitements vous permet de faire le point.”
Cnil.fr
****Définition
Traitement : toute opération ou tout ensemble d’opérations e ectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modi cation, l’extraction, la consultation, l’utilisation, la communication par transmission, la di usion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Les outils pour vous aider : Modèle de registre règlement européen (Excel)
*** Pseudonymisation : le traitement de données à caractère personnel de telle façon qu’elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable.
Etape 3
Prioriser les actions à mener
Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
- Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
- Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale)
- Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du règlement)
- Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
- Prévoyez les modalités d’exercice des droits des personnesconcernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…)
- Vérifiez les mesures de sécurité mises en place.
FOCUS
Quels sont les “Informations à fournir” ?
Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée
Article 15 – Droit d’accès de la personne concernée
Etape 4
GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
Etape 5
Organiser les processus internes
Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
Etape 6
Se DOCUMENTER
DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
BONUS: DECOUVREZ L’INFOGRAPHIE DE CULTURECOM BLOG
Article rédigé et basé sur
- le livre blanc EUDONET https://goo.gl/ZLto3y
- le site Internet de la cnil https://www.cnil.fr/professionnel
- Compte rendu de la conférence : http://www.magestionbilletterie.com/2018/02/01/compte-rendu-sitem-2018-rgpd-ce-qui-change-pour-les-professionnels-des-musees-0123/
- et l’article du site Desmarais Avocats https://www.desmarais-avocats.fr/acte-1-lue-propose-une-definition-unique-de-la-pseudonymisation/