Le RGPD (Règlement Général sur la Protection des Données) constitue le fer de lance de ces nouvelles dispositions immédiatement applicables. Celui-ci impose à tout organisme public comme privé, de rendre auditables les mesures prises en matière de protection des données personnelles, en documentant à la fois le niveau de conformité ciblé (démarches en cours) et atteint (mesures prises en entrée en vigueur).
Dans ce contexte, un nouvel homme-clé est né : le DPO (Data Protection Officer). Ce dernier est le garant de la mise en conformité de l’entreprise et doit piloter le projet de bout en bout. En liaison avec les services qui déclarent les traitements nominatifs réalisés dans l’ensemble des applications informatiques exploitées sous leur responsabilité, tout DPO doit ainsi mettre en place un mode de gestion industriel pour mener à bien sa mission. A priori évident, un tel processus est particulièrement complexe et nécessite de s’appuyer sur une approche pragmatique et traçable. L’objectif est simple : modéliser les traitements de suivi et la production des registres pour l’ensemble des organismes dont le data Protection Officer a la charge.
Mener à bien sa démarche de mise en conformité
Une démarche structurée est donc nécessaire, et notamment grâce au digital. En voici un exemple. Concrètement, une première étape consisterait en une déclaration, par les agents et via des formulaires adaptés, des traitements susceptibles de collecter et exploiter des données à caractère personnel. Un circuit de validation librement modélisé pourrait ensuite acheminer chaque déclaration vers le DPO qui matérialiserait son accord et produirait les registres réglementaires adaptés à chaque organisation dont il a la charge, sur la base de modèles préalablement constitués. Chaque agent disposerait alors de fonctions lui permettant de suivre les traitements et d’accéder aux registres générés. Cet exemple démontre clairement la complexité de mener à bien une démarche de mise en conformité de manière globale faute de mettre en place des processus de gestion structurés.
Ce que nous pouvons conclure de ces différents éléments est que la mise en conformité souvent présentée uniquement sous l’angle du conseil ne suffit pas. En effet, faute de mettre en place des processus de gestion collaboratifs et dédiés, il sera difficile de maintenir à jour son référentiel, de le faire évoluer et d’assurer sa mise en conformité. Attention donc à bien prendre la hauteur nécessaire pour s’assurer de la pertinence de sa démarche et de la viabilité de son approche pour être conforme aux directives du RGPD.
Dans ce contexte, un nouvel homme-clé est né : le DPO (Data Protection Officer). Ce dernier est le garant de la mise en conformité de l’entreprise et doit piloter le projet de bout en bout. En liaison avec les services qui déclarent les traitements nominatifs réalisés dans l’ensemble des applications informatiques exploitées sous leur responsabilité, tout DPO doit ainsi mettre en place un mode de gestion industriel pour mener à bien sa mission. A priori évident, un tel processus est particulièrement complexe et nécessite de s’appuyer sur une approche pragmatique et traçable. L’objectif est simple : modéliser les traitements de suivi et la production des registres pour l’ensemble des organismes dont le data Protection Officer a la charge.
Mener à bien sa démarche de mise en conformité
Une démarche structurée est donc nécessaire, et notamment grâce au digital. En voici un exemple. Concrètement, une première étape consisterait en une déclaration, par les agents et via des formulaires adaptés, des traitements susceptibles de collecter et exploiter des données à caractère personnel. Un circuit de validation librement modélisé pourrait ensuite acheminer chaque déclaration vers le DPO qui matérialiserait son accord et produirait les registres réglementaires adaptés à chaque organisation dont il a la charge, sur la base de modèles préalablement constitués. Chaque agent disposerait alors de fonctions lui permettant de suivre les traitements et d’accéder aux registres générés. Cet exemple démontre clairement la complexité de mener à bien une démarche de mise en conformité de manière globale faute de mettre en place des processus de gestion structurés.
Ce que nous pouvons conclure de ces différents éléments est que la mise en conformité souvent présentée uniquement sous l’angle du conseil ne suffit pas. En effet, faute de mettre en place des processus de gestion collaboratifs et dédiés, il sera difficile de maintenir à jour son référentiel, de le faire évoluer et d’assurer sa mise en conformité. Attention donc à bien prendre la hauteur nécessaire pour s’assurer de la pertinence de sa démarche et de la viabilité de son approche pour être conforme aux directives du RGPD.
Autres articles
-
Les règles du jeu des partage et réutilisation des données personnelles à l'ère du numérique
-
EQS Group entre en négociations exclusives pour l'acquisition de Data Legal Drive
-
La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL et l’AFCDP souligne de nouvelles tendances dans l’exercice du métier de DPO
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand
-
Protection des données : 67% des DPO se sentent concernés par l'IA Act