Mise en conformité CNIL : cas concrets et les bonnes questions à se poser

RGPD : les premières étapes

Les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données.

Les 6 grands principes du RGPD

Ces 6 grands principes du RGPD peuvent vous être utiles pour sensibiliser votre entourage professionnel à la protection des données personnelles.

1. Les données sont collectées pour un but bien déterminé.
   • Quel est le but de mon fichier ? (à quoi va-t-il servir ?)
   • Est-ce légitime, notamment au regard de mes missions et des droits et libertés des personnes ?
   • Comment présenter cette finalité pour la rendre compréhensible par tous ?
2. Les individus doivent conserver la maîtrise des données qui les concernent.
   • Le RGPD impose une information complète et précise. Les modalités de fourniture et de présentation de cette information doivent être adaptées au contexte. La transparence permet aux personnes concernées :
     • de connaître la raison de la collecte des différentes données les concernant ;
     • de comprendre le traitement qui sera fait de leurs données ;
     • d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.
   • Quelles informations prioriser ? (dans tous les cas)
     • l’identité du responsable de traitement ;
     • les finalités ;
     • les droits des personnes.
3. Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à leurs demandes.
   • Mettre en place une organisation chargée de traiter les demandes Informatique et Libertés.
   • Contacter le délégué à la protection des données si l’organisme concerné en a désigné un.
   • Surveiller les délais de réponses.
4. Vous ne pouvez pas conserver les données indéfiniment.
   • Jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
   • Ai-je des obligations légales de conserver les données pendant un certain temps ?
   • Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
   • Jusqu’à quand puis-je faire valoir ce recours en justice ?
   • Quelles informations doivent être archivées ? Pendant combien de temps ?
   • Quelles sont les règles de suppression des données.
   • Quelles sont les règles d’archivage des données ?
5. Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données.
   • Quels pourraient être les impacts sur les personnes concernées en cas :
     • d’accès illégitime ?
     • de modification non désirée ?
     • de disparition ?
   • Est-ce grave ?
   • Comment chacun de ces scénarios pourrait-il arriver ?
   • Est-ce vraisemblable ?
   • Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ?
6. La conformité n’est pas gravée dans le marbre et figée.
   • Inscrivez votre mise en conformité dans une démarche continue
   • Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.

Lien utiles

• Fiche pratique « Entamer sa mise en conformité avec les règles de protection des données » (site web cnil.fr)
• Fiche pratique « Limiter la conservation des données » (site web cnil.fr)
• Fiche pratique « Comment concilier les durées de conservation et les archives » (guide « Collectivités territoriales», site web cnil.fr)
• Portail interministériel des Archives de France
• Blog « Droit des archives » (dédié aux questions de droit appliqué aux archives animé par le SIAF).

Références juridiques

• Principe de limitation de la durée de conservation :
  • article 5 du RGPD
  • considérant 39 du RGPD
• Protection des données dès la conception et par défaut :
  • article 25 du RGPD
  • considérant 78 du RGPD
• Recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel : délibération n° 2005-213 du 11 octobre 2005
• Recommandation sur la compatibilité entre les lois n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et n° 79-18 du 3 janvier 1979 sur les archives : délibération n°88-52 du 10 mai 1988.
• Code du patrimoine : articles L. 211-1 et suivants