Gestion quotidienne & pilotage stratégique :
éliminez vos doutes, contactez un expert SVP

  • Téléphone
  • App mobile
  • Ordinateur

    Collectivités et personnes publiques : quelques outils en prévision de la mise en conformité avec le RGPD (1ère partie)

    14 décembre 2017

    La date du 28 mai 2018, à compter de laquelle les responsables des traitements de données devront mettre leurs pratiques en compatibilité avec le règlement européen sur la protection des données, arrive à grands pas. Voici quelques outils, préconisé par le RGPD, à mettre en œuvre dès maintenant.

    Cartographier les traitements de données

    Les collectivités et personnes publiques devraient songer dès maintenant à faire un inventaire des traitements de données qu'elles ont en cours. Ce recensement constitue une cartographie des traitements ; elle permettra d'identifier la nature et la quantité des traitements mais surtout de prendre en compte les risques pour les droits et libertés des personnes que ces traitements sont susceptibles de générer.

    Les informations à collecter dans le cadre de cette cartographie sont : les différents types de traitements, le type des données traitées, les finalités des traitements de données, les acteurs responsables du fichier, les garanties apportées aux personnes concernées par la collecte des données, les modalités de transfert si c'est le cas.

    Cette cartographie permettra (outre d'y voir plus clair !), de commencer à se mettre en conformité avec les prescriptions règlementaires du RGPD.

    Réaliser des études d'impact

    Les études d'impacts sur la vie privée (EIVP ou PIA pour privacy impact assessment) pourront être menées si nécessaire après la phase de cartographie des traitements de données.

    En effet, si le ou les traitement(s) de données est/sont susceptible(s) d'engendrer un risque élevé pour les droits et libertés des personnes physiques, une EIVP sera diligentée. Cette dernière permettra d'évaluer l'origine, la nature et la gravité du risque afin de garantir le respect de la vie privée dans le cadre de la collecte. Si cela s'avère impossible, une consultation de l'autorité nationale de contrôle sera nécessaire (CNIL). Cette EIVP est réalisée préalablement à toute collecte de données dans le cadre du traitement.

    Il existe trois cas dans lesquels une EIVP sera requise : les fichiers types " profilage " (recensant les aspects personnels des personnes physiques et sur la base desquels des décisions produisant des effets juridiques seront prises) ; les traitements à grande échelle des données personnelles ou ceux relatifs aux condamnations pénales et aux infractions ; les fichiers de surveillance systématique à grande échelle des zones accessibles au public.

    Une EIVP comprendra au moins : une description détaillée du traitement, une évaluation de sa nécessité et de sa proportionnalité au regard des finalités poursuivies, une évaluation des risques, les mesures envisagées pour y faire face.

    Cette lettre est réalisée par : Vincent Lesconnec, Marina Jouvenot

    Les articles des experts SVP sur le même thème :