Il est indispensable de vous assurer que les données de vos utilisateurs et que tous les traitements effectuées sur celles-ci sont conformes au RGPD pendant toute la durée de vie du projet.
Si, au lancement ou au cours de votre activité, vous comptez lancer/utiliser un site web ou une application (mobile ou tablette), voici une liste des six grandes étapes à suivre et à mettre en place pour un développement respectueux de la vie privée au sens du RGPD.
1- Sensibilisez-vous aux grands principes du RGPD
Si vous travaillez à plusieurs, en équipe, il est recommandé d’identifier une personne en charge du pilotage de la conformité. Pour ce faire, deux options s’offrent à vous :
En fonction de votre projet et des données que vous collectez, la désignation d’un DPO peut devenir obligatoire. C’est le cas lorsque vous traitez des données dites « sensibles » et que votre traitement de données se fait « à grande échelle ».
2 – Cartographie et catégorisation des données et des traitements
Recenser à chaque étape de votre projet et de manière précise les traitements réalisés par votre programme, votre site web ou votre application. Ainsi, vous pourrez vous assurer que vos traitements se font en conformité avec le RGPD.
La tenue d’un registre des traitements, en plus d’être obligatoire en fonction des données que vous traitez, vous permet d’avoir une vision globale sur ces données, de les identifier et de les hiérarchiser en fonction des risques qui y sont associés.
3 – Priorisation des actions et déploiement
Sur la base du registre des traitements que vous avez mis en place, vous devez identifier en amont du développement les actions à mener afin de rendre votre projet conforme au RGPD. Après l’identification, vous allez prioriser les actions et points d’attention qui comportent des risques pour les personnes concernées par la collecte de ces données.
Les points d’attention reposent notamment sur :
4 – La gestion des risques
Parmi les données personnelles que vous traitez, certaines sont susceptibles de générer des risques plus ou moins importants pour les personnes qu’elles concernent. Vous devez alors vous assurer que la gestion de ces risques s’opère de manière appropriée et en fonction du contexte et de la règlementation en vigueur.
Dans certains cas, une Analyse d’Impact à la Protection des Données (AIPD) ou Privacy Impact Assessment (PIA) est nécessaire. Cette analyse vous permet de vous assurer que ces risques sont maîtrisés de manière appropriée. A noter qu’une AIPD est obligatoire lorsque vous traitez des données personnelles dites « sensibles » (données médicales, données ethniques…), susceptibles de comporter des risques élevés pour les droits et libertés des personnes qu’elles concernent.
5 – Organisation de processus internes respectant une charte
Afin de vous assurer une conformité optimale tout au long des diverses et différentes étapes de votre projet, veillez à ce que toutes vos procédures internes garantissent la prise en compte de la protection des données des personnes concernées, et cela sur l’ensemble des différents volets du projet. Vos processus internes doivent également contenir un volet lié aux évènements extérieurs qui peuvent survenir :
Etc.
6 – Documenter votre conformité
En cas de contrôle, vous devrez prouver votre conformité au RGPD, et ce à chaque étape de votre projet. L’ensemble des actions réalisées et futures ainsi que les documents relatifs à ces derniers doivent être à la fois légitimés, stockés et facilement accessibles.
Pour cela, vous devez présenter une documentation à jour et cohérente avec vos attentes et objectifs dans le cadre de votre projet et son déploiement.
Comme indiqué plus haut, vous devez « Documenter votre conformité », pour montrer patte blanche.
Pour respecter cela, votre dossier devra comporter trois grandes catégories de documentation :
1 – Documentation sur vos traitements de données personnelles
2 – Documentation sur l’information des personnes
3 – Documentation sur les contrats définissant les rôles et responsabilités
3. Troisième étape : mise en conformité des traitements
1 – Recenser l’ensemble de vos traitements
Votre Responsable de traitements doit tenir un registre des traitements de données à jour, indiquant pour chacun des traitements :
la finalité des données collectées :
2 – Des données triées et à jour
A la lecture de votre registre de traitements, vous devez être rapidement en mesure de définir et d’identifier si :
3 – Des personnes informées
A chaque fois que vous récoltez une donnée, que ce soit au travers d’un formulaire sur votre site internet, par l’intermédiaire d’un téléservice ou lors d’une communication orale, vous devez obligatoirement informer la personne concernée sur les conditions d’utilisation de ses données et sur ses droits.
Afin qu’une donnée soit « exploitable » par une organisation, il faut au préalable que la personne concernée donne son accord de manière à ce que cet accord remplisse les quatre critères cumulatifs du consentement. Ainsi, le consentement d’une personne doit être :
4 – Une organisation qui facilite l’exercice des droits
L’ensemble des parties prenantes (collaborateurs, sous-traitants, prestataires…) d’une organisation possèdent des droits sur leurs données. Par conséquent, il incombe au Responsable de traitements de permettre à ces différentes personnes d’exercer leurs droits de la manière la plus simple possible :
Toutes nos équipes d’experts sont formées au travail en mode projet.
En conséquence, nous sommes en capacité d’intervenir à n’importe quel moment du processus pour gérer la mise en conformité d’une organisation, quelle que soit la taille de l’entité ou son secteur d’activité.
Notre souplesse et notre réactivité nous permettent de nous inscrire dans le déploiement d’un PMEC (Plan d’action de Mise en Conformité) et d’un audit approfondi réalisé par nos soins, par une autre entreprise ou par un DPO interne.
