Le nouveau règlement européen sur la protection des données personnelles entrera en application le 25 mai 2018. Afin de se préparer dans les meilleures conditions, la CNIL a élaboré un guide de bonnes pratiques pour les entreprises.

« LA RÉFORME DE LA PROTECTION DES DONNÉES POURSUIT TROIS OBJECTIFS :

  1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées. »

Lorsque le règlement européen sera applicable, de nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée et devront assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Pour aider les professionnels à se préparer pour les nouvelles dispositions du RGPD, la CNIL a publié un guide de bonnes pratiques élémentaires qui précise les étapes indispensables pour protéger les données personnelles détenues par l’entreprise.

Le « Guide de la sécurité des données personnelles » de la CNIL consiste à adopter une démarche de gestion des risques constituées de différentes étapes essentielles :

Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent; 

Apprécier les risques engendrés par chaque traitement :

  • identifier les impacts potentiels sur les droits et libertés des personnes concernées (accès illégitime à des données, modification de données, disparition de données…),
  • identifier les sources de risques (sources humaines et non humaines internes et externes…),
  • identifier les menaces réalisables,
  • déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque,
  • estimer la gravité et la vraisemblance des risques au regard des éléments précédents.

Mettre en œuvre et vérifier les mesures prévues. Si les mesures existantes et prévues sont jugées appropriées, il convient de s’assurer qu’elles soient appliquées et contrôlées.

Faire réaliser des audits de sécurité périodiques. Chaque audit devrait donner lieu à un plan d’action dont la mise en œuvre devrait être suivie au plus haut niveau de l’organisme.

Le guide de la CNIL a été conçu sous la forme de fiches pratiques sur des thématiques spécifiques afin d’aborder l’ensemble des points essentiels pour comprendre les enjeux liés à la sécurité des données personnelles. Pour évaluer le niveau de sécurité des données personnelles, chaque chapitre est divisé en sous-tâche à accomplir pour assurer une sécurité des données optimale.