CEO de DPMS et Fondateur et Président de l'Union des Data Protection Officer (UDPO), Xavier Leclerc est une référence en termes de protection des données personnelles depuis bientôt 20 ans.
A travers ses chroniques tissées autour du RGPD, Xavier Leclerc prodigue au fil de l'eau ses conseils pour envisager sereinement l'échéance du 25 mai 2018. Révision de la politique de confidentialité, transparence, sécurité des traitements droit à l'information… Pour se conformer au RGPD, les entreprises devront apporter plusieurs modifications à leurs procédures internes. Pour vous aider, voici une check-list des choses à faire pour se mettre en adéquation avec le nouveau règlement sur la protection des données. 1.Se doter d'un registre des traitements Le RGPD impose de nombreuses nouvelles obligations aux entreprises. Parmi elles, il y a l'obligation de tenir un registre des traitements. Cet outil peut être consulté à tout moment par la CNIL et doit comporter des informations sur le responsable du traitement, les destinataires des données et la finalité du traitement (profilage, analyse statistique, conception d'offres commerciales…), …. Le registre doit pouvoir être la preuve légale de la mise en ouevre d'un traitement et ainsi tracer les modifications, évolutions et accès, notamment dans le cadre d'un ‘outil' dédié. 2.Définir le périmètre des données sensibles Selon le RGPD, les données sensibles doivent faire l'objet d'un traitement à part : cryptage et pseudonymisation ou anonymisation. De plus, la nouvelle règlementation élargit la notion de données sensibles, du moins par rapport à la définition de la loi de 1978. Ainsi, le RGPD entend par données sensibles les informations concernant les origines raciales, les opinions politiques ou religieuses, l'orientation sexuelle, les données biométriques et/ou génétiques, et toute autre information liée à la santé, mais également les données sur les infractions et condamnations ou encore concernant des populations fragiles comme les personnes mineures 3.Assurer le respect des droits des personnes Le RGPD accorde une grande importance au consentement et au respect des droits des personnes concernées par les traitements. Et pour cause, à partir de mai 2018, les entreprises devront obtenir le consentement (donné de manière libre et éclairée) des personnes faisant l'objet d'un traitement et en garder la preuve. Elles doivent également garantir le respect du droit à l'oubli numérique(droit de demander l'effacement de ses données sur les moteurs de recherche par exemple) et du droit à la portabilité (droit d'obtenir ses données et de les transmettre à une autre entité). 4.Actualiser les contrats fournisseurs Les nouvelles règlementations sur la protection des données obligent de revoir les contrats avec les fournisseurs et les sous-traitants. Dorénavant, ces derniers pourront être coresponsables en cas de non-respect de la loi. C'est pour cette raison qu'il faudra intégrer des clauses rappelant les nouvelles obligations imposées par le RGPD dans les contrats des sous-traitants. 5.Élaborer une charte de bonnes pratiques L'élaboration d'une charte de bonnes pratiques est importante pour rappeler aux collaborateurs et au personnel de l'entreprise les nouvelles pratiques imposées par le RGPD ainsi que les sanctions en cas d'écart à la loi. Si possible, une formation du personnel au RPGD peut être organisée pour maximiser la protection des données en interne et limiter les risques de fuite mais aussi pour répondre à l'obligation d'accountability ou responsabilisation. 6.Faire le point sur les nouvelles missions du DPO Après l'entrée en vigueur du RGPD, le DPO remplacera le CIL actuel. Et contrairement à ce dernier, les fonctions du DPO seront plus larges. Il informe et supervice le respect de nouvelle règlementation au sein de l'entreprise. Même si la fonction ne requiert pas de diplôme spécifique, le futur DPO doit avoir une bonne connaissance du droit informatique et libertés et des technologies de l'information et de la communication mais aussi une expertise du métier et des talents de négociateur, de communiquant et de gestion de projet. En termes d'accountability, il pourra faire certifier son expertise. 7.Élaborer un plan d'action pour faire face aux violations de données Malgré de nombreuses précautions, les risques pour les droits et libertés ne peuvent être totalement exclus. C'est pourquoi les entreprises doivent mettre en place des procédures d'urgence pour y faire face : communication de la faille à la CNIL et aux personnes concernées, si la fuite présente un risque élevé pour les droits et libertés. On entend par faille ou violation des cas comme le vol de mot de passe, le piratage, ou encore la perte de données sensibles… Fondateur et Président de l'Union des Data Protection Officer (UDPO), Xavier Leclerc créé DPMS en 2016. Sa vocation, accompagner les entreprises dans la protection, la gestion et le traitement de leurs données personnelles, mais aussi les professionnels (DPO et experts RGPD) en leur proposant une formation qualifiée par Bureau Veritas Certification. Au programme, un accompagnement de ses clients d'un bout à l'autre de la chaîne de valeurs sur le sujet, afin de préserver les libertés individuelles et respecter le règlement général de la protection des données et la loi Informatique et libertés. Depuis près de 20 ans, Xavier Leclerc participe à tous les grands rassemblements autour de la protection des données, sujet dont il a fait son cheval de bataille. En 2001, il est le seul professionnel de France à porter le titre de Data Protection Manager, poste qu'il occupe au sein d'Experian. Directeur du Service CIL dès 2006 pour la profession notariale, et co-fonde l'association Française des Correspondants à la Protection des Données Personnelles en 2004. |