RGPD : quatre étapes pour bien vous préparer
Publié par Ugap le - mis à jour à
Acteurs publics, avez-vous pris les devants pour être en conformité avec le RGPD, Règlement général de protection des données, en vigueur le 25 mai 2018 ? Décryptage les leviers à activer dès maintenant pour vous mettre en règle.
Acteurs publics, avez-vous pris les devants pour être en conformité avec le RGPD, Règlement général de protection des données, en vigueur le 25 mai 2018 ? L'UGAP décrypte les leviers à activer dès maintenant pour vous mettre en règle.
Date butoir, le 25 mai 2018, est l'échéance fixée aux acteurs publics comme privés pour être en conformité avec le RGPD, Règlement général de protection des données. S'il ne vous reste plus que quelques mois pour répondre à vos obligations, deux tiers des acteurs concernés auraient un important effort à fournir selon une enquête KPMG.
C'est dire l'urgence de s'atteler à un tel chantier, au risque d'être exposé, sinon, à des sanctions lourdes : des amendes jusqu'à 20 M€. Alors comment rendre votre traitement des données personnelles compatibles avec ce règlement européen, bien plus exigeant que la loi Informatique et Libertés de 1978 portée par la CNIL ? L'UGAP dresse, pour vous, un tour d'horizon des leviers clés à activer.
1/ Réaliser un état des lieux
Si le RGPD impose les mêmes obligations à tous - comme celle de démontrer votre " accountability ", à savoir, prouver à tout moment comment les données personnelles sont collectées et protégées - " tous les acteurs publics ne partent pas du même stade en la matière. D'où la nécessité de réaliser un diagnostic afin de mettre en évidence l'ampleur des actions à déployer pour être en conformité ", indique Reza Bacha, chef du département marketing produits informatiques à l'UGAP. Et de rappeler que " dans diverses structures publiques, les politiques de traitement des données font encore défaut, faute de moyens : hôpitaux manipulant moult informations sur la santé des patients, écoles engagées dans des programmes d'éducation numérique avec leurs élèves... ".
Quelles sont mes données sensibles et quid de leur nombre ? Comment les catégoriser pour mieux les identifier ? Ou sont-elles hébergées et par qui ? Pour réaliser cette cartographie précise, un état des lieux s'impose. " Ce qui suppose bien souvent l'expertise de cabinets de conseil pour adapter le projet de mise en conformité aux spécificités et moyens de l'organisme ", indique le responsable à l'UGAP qui a ciblé dans son offre, divers prestataires ad hoc.
2/ Identifier un délégué à la protection des données
C'est une mesure phare du RGPD : la désignation en interne d'un délégué à la protection des données. Pilote de la gouvernance des données personnelles de votre structure, ce chef d'orchestre a pour lourde tâche de coordonner toutes les actions de mise en conformité.
" Si une telle nomination dans les délais impartis relève de la gageure - surtout chez les acteurs publics dépourvus de 'correspondant informatique et libertés' tel que recommandé par la CNIL -, estime Reza Bacha, une alternative s'impose : être accompagné, là encore, par un cabinet de conseil pour identifier progressivement le profil adéquat dans l'organigramme et dimensionner le périmètre de son poste et les missions associées ".
Découvrez les deux autres leviers...