RGPD : Comment cartographier vos traitements de données personnelles ?

Le RGPD entre en vigueur dans quelques mois. Il sera source de nouvelles obligations pour vous. La toute première étape pour vous conformer à cette nouvelle réglementation qui concerne les données personnelles consiste à cartographier l’ensemble de vos traitements de données personnelles.
Il s’agit concrètement pour vous de mettre en place une documentation interne complète sur l’ensemble des traitements de données personnelles sous votre responsabilité. Cette documentation vous permettra de vous assurer que ces traitements respecte bien l’ensemble des nouvelles obligations légales et notamment l’étude d’impact sur la vie privée.

Cartographier tous les traitements de données personnelles

Pour répondre à votre obligation légale de conformité aux nouvelles dispositions relatives à la protection des données personnelles vous devez recenser et cartographier précisément un ensemble d’éléments.

Les différents traitements mis en oeuvre

Cartographier les traitements de données personnelles Vous devez référencer les différents traitements de données personnelles que vous mettez en œuvre. L’article 4 du Règlement défini ainsi un traitement comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensemble de données à caractère personnel, tel que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Cette définition de la notion de traitement contenu dans le RGPD englobe l’ensemble des opérations possibles sur des données personnelles. [Lire la suite]

RGPD : comment réaliser une étude d’impact sur la vie privée ?

Le RGPD impose de nouvelles obligations à toutes les entreprises. Outre la nécessité de mettre les données personnelles au coeur de votre stratégie, le RGPD impose de réaliser une étude d’impact sur la vie privée, parfois appelée PIA pour Privacy Impact Assessment. Cette étude d’impact a pour but de détecter les risques relatifs à la violation de la vie privée et à la protection des données personnelles que vous traitez. Cet impératif découle des obligations prévues à l’article 34 de la loi de 1978 qui dispose que le responsable de traitement doit «  prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». Cette étude pourra le cas échéant imposer la prise de mesures notamment techniques pour éviter les risques relatifs à la sécurité des données personnelles.

Une étude d’impact est-elle nécessaire ?

RGPD : comment faire une étude d'impactPour savoir si vous devez une telle étude d’impact, vous devez dans un premier temps identifier parmi les différents traitements de données personnelles que vous faites, celui ou ceux qui induisent des risques élevés pour la vie privée. Vous devez pour ce faire, avoir au préalable cartographier l’ensemble des traitements de données personnelles que vous faites.
Pour chacun de ces traitements vous devez réaliser une étude d’impact pour vous assurer du respect de la réglementation.
En d’autres termes, à chaque fois que vous traitez des données personnelles, vous devez vous poser les 4 questions suivantes : [Lire la suite]

Privacy by design : mettre les données personnelles au coeur de votre stratégie

Parmi les éléments différentiant une entreprise de ses concurrentes, la stratégie relative à la protection des données personnelles est de plus en plus importante. J’ignore si les données sont le nouvel or ou non mais les européens sont de plus en plus soucieux de la gestion des données personnelles par les entreprises à qui ils les confient.

Un concept : le privacy by design met au cœur de la stratégie de l’entreprise les données personnelles gérées. Le privacy by design n’est pourtant pas nouveau. L’idée a été développée il y a plus de 25 ans par Ann Cavoukian, Commissaire à l’information et à la protection de la vie privée de l’État d’Ontario au Canada. Cette idée est également au centre du RGPD qui entre en vigueur dans quelques mois.

Qu’est-ce que le privacy by design ?

Le privacy by design permet de respecter le RGPD et les données personnellesLa Commissaire à l’information et à la protection de la vie privée est partie de l’idée que toute nouvelle technologie permettant de traiter des données personnelles devait garantir, dès sa conception, le plus haut niveau possible de protection pour ces données. Ce même principe doit naturellement prévaloir lors de chaque usage de ces données. Ce sera également le cas si cet usage n’avait pas été prévu à l’origine.

Le privacy by design est la réponse logique à la multiplication des traitements de données personnelles par des acteurs proposant des technologies et des objets à usage quotidien. En effet ces technologies et objets recueillent toujours plus de données personnelles sont maintenant plus interconnectés les uns aux autres. C’est le cas notamment des smartphones enregistrant l’activité quotidienne de leurs propriétaires à travers des bracelets et des applications dédiées.

Ce concept est également une réponse aux stratégies de collecte et d’utilisation de données personnelles abusives d’entreprises qui tentent par tous les moyens de décourager leurs clients ou des tiers de protéger au mieux leurs données personnelles. Ces entreprises multiplient pour cela les procédures longues, compliquées et surtout en changent souvent. C’est une stratégie payante à court terme mais désastreuse à plus long terme : elle détériore l’image de marque de l’entreprise.  [Lire la suite]