|     | Recherche avancée
Imprimer cette page

Se conformer en 7 étapes
Guide de préparation au nouveau règlement général sur la protection des données


Le règlement général sur la protection des données sera applicable à partir du 25 mai 2018. Ce nouveau cadre légal établira un régime unique de protection des données en Europe, remplaçant la directive de 1995 et la loi luxembourgeoise de 2002. Les formalités préalables seront limitées au maximum. En contrepartie, les organismes seront davantage responsabilisés. Ils devront en effet assurer à chaque instant un respect des nouvelles règles en matière de protection des données et être en mesure de le démontrer en documentant leur conformité.

La CNPD propose une approche en 7 étapes pour se mettre en conformité :

1

S’informer sur les changements à venir

Il est important que les personnes clés et les décideurs de votre organisation soient au courant du règlement général sur la protection des données (RGPD). Ils doivent pouvoir évaluer les conséquences que le nouveau cadre légal aura sur leur organisation et identifier les domaines qui pourraient être problématiques.

2

Identifier vos traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données sur votre activité, commencez à faire l’inventaire de tous les traitements de données personnelles que vous mettez en oeuvre. Notez quelle est la provenance de ces données et les personnes avec lesquelles vous les avez partagées. La tenue d'un registre des traitements vous permet de faire le point.

3

Désigner un délégué à la protection des données (si applicable)

Désignez au besoin un délégué à la protection des données (DPD) ou une personne qui est responsable du respect des règles de protection des données. Cette personne exerce une mission d'information, de conseil et de contrôle en interne. Dans l'attente du 25 mai 2018, vous pouvez d'ores et déjà désigner un « chargé de la protection des données », qui vous donnera un temps d'avance et vous permettra d'organiser les actions à mener.

4

Etablir un plan d’action

Sur base de votre registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

5

Identifier et gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une analyse d'impact relative à la protection des données (en anglais, Data Protection Impact Assessment ou DPIA).

6

Organiser les processus internes

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

7

Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

                                                                                                                    >>> ETAPE 1: S'informer sur les changements à venir >>>