Missions au forfait
DPO externe

Toutes les organisations qui traitent des données personnelles sont concernées par le RGDP. Toutes n'ont pas les mêmes obligations : 

- Obligation de sécuriser les données personnelles : toutes [avec des pratiques de bon sens comme le fait de ne pas conserver des données inutiles, de protéger les accès, de sécuriser leur stockage et leur transfert...]

- Obligation de tenir un registre : structure de plus de 250 salariés [et structure effectuant des traitements à grande échelle, ou sur données sensibles ou effectuant des suivis de comportements].

- Obligation de désigner un DPO : organisation publique et organisation traitant des données à grande échelle, ou sensibles, ou effectuant des suivis de comportements [dans le doute, poser la question à un professionnel].

Certaines structures sont juridiquement impactées : celles pour qui sont imposées des DPO et celles dont les traitements nécessitent des PIA.

L'inventaire ou la cartographie des données personnelles, est une affaire de méthode, qui peut lorsque les traitements sont complexes faire appel à des outils.

Attention aux éléments suivants :

- certains traitements sont évidents, faciles à recenser, avec des données structurées (dans vos base de données en local). Certains traitements traitent des données non structurées, invisibles, par exemple un traitement effectué dans le cloud via une application métier d'un service relativement autonome. Ici un grand nombre d'outils trouvent leur limites.

- le recensement évolue continuellement. Sa bonne tenue dépend des méthode mais du travail collaboratif de l'ensemble des acteurs qui effectuent des traitements. la sensibilisation est primordiale.

Dans tous les cas la cartographie sert de base pour évaluer la conformité, construire les plans d'actions pour réduire les risques, démontrer la conformité. C'est la base de conformité, elle nécessite un travail rigoureux du DPO.

Tout traitement comporte des risques. Beaucoup de traitement sont classiques et ont été répertoriés par la CNIL. Pour cela il suffit de suivre les documents de la CNIL, d'appliquer le bonne finalité, la bonne durée de conservation et de faire attention aux mesures de sécurité et organisationnelles correspondantes.

Attention aux évolutions rapides des traitements, notamment avec l'utilisation des nouvelles technologies (traces, métadonnées), de la possibilité de combinaison de traitements complémentaires (bigdata). C'est le grand risque des années à venir.

La mise en conformité au GDPR implique des équipes pluridisciplinaires qui œuvrent pour ces changements :

• juridiques (contrats signés avec les clients et les sous-traitants, règles de consentement, politique de confidentialité interne…),
• organisationnels (désignation d’un Data Protection Officer, chaîne de responsabilité, reporting, communication, modalités d’exercice des droits),
• technologiques (gestion d’accès, architecture des systèmes d’information, cyber-sécurité, datamining…)
• formation (prévention, minimisation des données, remontée d’information)

Les projets vont se construire autour des questions centrales habituelles : quelles données avons-nous ? Sont-elles en conformité ? Qui s’en occupe ? Il y a-t-il des risques de violation de ces données ? Comment les sécuriser ? Comment prouver notre conformité ?

• Plan de collecte des données et diagnostic de conformité
• Gouvernance des données
• Mise en conformité : mesures juridique, organisationnelle et technique
• Dossier de conformité (registre, PIA, contrats, consentements, notification…)

Toutes les personnes qui traitent des données personnelles ont des obligations.
La loi définit indirectement les salariés qui traitent des données personnelles [art 32.4] et imposent au responsable du traitement des mesures pour assurer que les salariés "instruit" respecte la confidentialité des données [exemple : art 28.3b].

Concrètement cela veut dire que le responsable de traitement doit avoir une politique de sécurité des données personnelles et que les salariés s'engagent à la respecter en signant une obligation de confidentialité.

La loi, et c'est une première, propose dans le texte des mesures de protection telles que la pseudonymisation, le chiffrement. Effectivement ce sont des mesures qui se révèleront utiles, notamment pour les risques de confidentialité.

La plupart des mesures de protection répondent aux besoins exprimés dans le règlement : risque de confidentialité, d'intégrité, et de [non] disponibilité. En réponse à ces besoins, on trouvera les mesures de protection techniques suivantes :

• Confidentialité, la divulgation non autorisée, l’accès non autorisé, ou encore la perte de données : les réponses techniques seront la gestion des accès et des habilitations, la pseudonymisation, le chiffrement (base de donnée, stockage, VPN), la segmentation des données, la lutte contre les violations de type malware (antivirus, parefeu), vols (chiffrement des postes et mobile, sécurisation des serveurs, des applications), la surveillance des actions …
• L’intégrité, la non altération des données : les réponses techniques seront la sauvegarde, l’utilisation de fonction de condensation..
• La disponibilité, le fait d’avoir les informations à disposition : les réponses techniques se trouveront dans la redondance d’architecture à haute disponibilité, dans la sauvegarde.

Notons que dans la plupart des cas ces mesures sont déjà prises en comptes dans les projets de sécurisation des données (DSI) et ne nécessitent pas des budgets spécifiques.