Académique Documents
Professionnel Documents
Culture Documents
1
SÉQUENCE 2 - ACCOMPAGNER
LE RESPONSABLE DE TRAITEMENT
DES DONNÉES DANS LA MISE EN ŒUVRE DU PROJET RGPD
SYNTHÈSE
NOTIONS CLÉS
— Cartographie des traitements de données à caractère personnel
— Réglementation en matière de collecte, traitement et de conservation des données à caractère
personnel
— Conformité des traitements
Rappels théoriques
La mise en place du RGPD au sein d’une organisation est un projet transversal qui implique tous les
acteurs de l’organisation.
L’objectif du RGPD est d’encadrer les pratiques relatives au traitement et à la sécurité de l’ensemble
des données à caractère personnel. Bien plus que de s’intéresser aux données le RGPD s’intéresse aux
traitements allant de leur collecte à leur stockage, de leur utilisation à leur destruction.
L’analyse seule des applications n’est pas suffisante pour déterminer les informations qui entrent dans
le cadre du RGPD. C’est pourquoi, il faut aussi s’intéresser à toutes les composantes de l’entreprise
qui sont, de près ou de loin, concernées par ces pratiques, des ressources humaines au juridique, en
passant par la finance/comptabilité fournisseurs, la DSI et le marketing/commercial.
La première étape consiste à désigner un DPO qui sera en charge de cadrer le projet, de définir le
périmètre d’application et d’analyser les conséquences sur l’organisation.
Lors de cette première étape le DPO va identifier tous les interlocuteurs, les responsables de traitement,
les éventuels représentants des responsables du traitement, etc.
La deuxième étape consiste à effectuer une cartographie des traitements utilisés et à qualifier les
pratiques en matière de traitement des données personnelles. Il faudra définir comment sont collectées
les données, où sont-elles stockées, quels sont le type de données, la durée de conservation, les
différents transferts et flux de données, la finalité de leur utilisation et les mesures de sécurité mises
en place. Cette analyse devra s’effectuer non seulement sur les données traitées directement par
l’organisation, mais aussi sur les données transférées à des sous-traitants ou prestataires externes.
La troisième étape consiste à identifier les éléments non conformes et à construire un plan d’action,
dans lequel sont listées et planifiées les différentes démarches à effectuer pour être en conformité avec
le RGPD.
La quatrième étape consiste à gérer les risques et analyser les pratiques susceptibles d'engendrer des
risques élevés pour les droits et libertés des personnes concernées.
La cinquième étape consiste à sécuriser les données.