SVP
Actualité

Collectivités et personnes publiques : quelques outils en prévision de la mise en conformité avec le RGPD (1ère partie)

Date de publication
Temps de lecture
2min
Collectivités et personnes publiques : quelques outils en prévision de la mise en conformité avec le RGPD (1ère partie)
La date du 28 mai 2018, à compter de laquelle les responsables des traitements de données devront mettre leurs pratiques en compatibilité avec le règlement européen sur la protection des données, arrive à grands pas. Voici quelques outils, préconisé par le RGPD, à mettre en œuvre dès maintenant.

Cartographier les traitements de données

Les collectivités et personnes publiques devraient songer dès maintenant à faire un inventaire des traitements de données qu'elles ont en cours. Ce recensement constitue une cartographie des traitements ; elle permettra d'identifier la nature et la quantité des traitements mais surtout de prendre en compte les risques pour les droits et libertés des personnes que ces traitements sont susceptibles de générer.

Les informations à collecter dans le cadre de cette cartographie sont : les différents types de traitements, le type des données traitées, les finalités des traitements de données, les acteurs responsables du fichier, les garanties apportées aux personnes concernées par la collecte des données, les modalités de transfert si c'est le cas.

Cette cartographie permettra (outre d'y voir plus clair !), de commencer à se mettre en conformité avec les prescriptions règlementaires du RGPD.

Réaliser des études d'impact

Les études d'impacts sur la vie privée (EIVP ou PIA pour privacy impact assessment) pourront être menées si nécessaire après la phase de cartographie des traitements de données.

En effet, si le ou les traitement(s) de données est/sont susceptible(s) d'engendrer un risque élevé pour les droits et libertés des personnes physiques, une EIVP sera diligentée. Cette dernière permettra d'évaluer l'origine, la nature et la gravité du risque afin de garantir le respect de la vie privée dans le cadre de la collecte. Si cela s'avère impossible, une consultation de l'autorité nationale de contrôle sera nécessaire (CNIL). Cette EIVP est réalisée préalablement à toute collecte de données dans le cadre du traitement.

Il existe trois cas dans lesquels une EIVP sera requise : les fichiers types " profilage " (recensant les aspects personnels des personnes physiques et sur la base desquels des décisions produisant des effets juridiques seront prises) ; les traitements à grande échelle des données personnelles ou ceux relatifs aux condamnations pénales et aux infractions ; les fichiers de surveillance systématique à grande échelle des zones accessibles au public.

Une EIVP comprendra au moins : une description détaillée du traitement, une évaluation de sa nécessité et de sa proportionnalité au regard des finalités poursuivies, une évaluation des risques, les mesures envisagées pour y faire face.


Partager

Pour ne rien manquer

inscrivez-vous à notre newsletter

Cochez cette case si vous acceptez de recevoir notre newsletter. Afin d'en savoir plus sur l'utilisation de vos données personnelles, rendez-vous sur notre politique de confidentialité de protection des données personnelles. Dans le cas où vous voudriez vous désinscrire de votre newsletter, cliquez sur le lien se trouvant en bas de celle-ci afin de nous notifier de votre décision.