Gestion et déploiement de projet RGPD

Un projet ?
Nos experts vous accompagnent tout au long de votre gestion et déploiement

Que vous travailliez seul ;

Que vous travailliez en équipe ;

Que vous soyez prestataire ;

Il est indispensable de vous assurer que les données de vos utilisateurs et que tous les traitements effectuées sur celles-ci soient conformes au RGPD pendant toute la durée de vie du projet.

Si, au lancement ou au cours de votre activité, vous comptez lancer/utiliser un site web ou une application (mobile ou tablette), voici une liste des six grandes étapes à suivre et à mettre en place pour un développement respectueux de la vie privée, au sens du RGPD.

 

1. Première étape : suivi et gestion de la mise en conformité

1- Sensibilisez-vous aux grands principes du RGPD

Si vous travaillez à plusieurs, en équipe, il est recommandé d’identifier une personne en charge du pilotage de la conformité. Pour ce faire, deux options s’offrent à vous :

  • Nommer un DPO en interne
  • Faire le choix d’externaliser la fonction du DPO

En fonction de votre projet et des données que vous collectez, la désignation d’un DPO peut devenir obligatoire. C’est le cas lorsque vous traitez des données dites « sensibles » et que votre traitement de données se fait « à grande échelle ».

2 – Cartographie et catégorisation des données et des traitements

Recenser à chaque étape de votre projet et de manière précise les traitements réalisés par votre programme, votre site web ou votre application. Ainsi, vous pourrez vous assurer que vos traitements se font en conformité avec le RGPD.

La tenue d’un registre des traitements, en plus d’être obligatoire en fonction des données que vous traitez, vous permet d’avoir une vision globale sur ces données, de les identifier et de les hiérarchiser en fonction des risques qui y sont associés.

3 – Priorisation des actions et déploiement

Sur la base du registre des traitements que vous avez mis en place, vous devez identifier en amont du développement les actions à mener afin de rendre votre projet conforme au RGPD. Après l’identification, vous allez prioriser les actions et points d’attention qui comportent des risques pour les personnes concernées par la collecte de ces données.

Les points d’attention reposent notamment sur :

  • la nécessité et les types de données collectées puis traitées ;
  • la base légale sur laquelle se fondent ces mêmes traitements de données ;
  • les mentions d’information de votre programme, application ou site web ;
  • les clauses contractuelles qui vous lient à vos sous-traitants ;
  • les mesures liées à la sécurité de vos données qui sont mises en place.

4 – La gestion des risques

Parmi les données personnelles que vous traitez, certaines sont susceptibles de générer des risques plus ou moins importants pour les personnes qu’elles concernent. Vous devez alors vous assurer que la gestion de ces risques s’opère de manière appropriée et en fonction du contexte et de la règlementation en vigueur.

Dans certains cas, une Analyse d’impact à la protection des données (AIPD) ou Privacy Impact Assessment (PIA) est nécessaire. Cette analyse vous permet de vous assurer que ces risques sont maîtrisés de manière appropriée. A noter qu’une AIPD est obligatoire lorsque vous traitez des données personnelles dites « sensibles » (données médicales, données ethniques…), susceptibles de comporter des risques élevés pour les droits et libertés des personnes qu’elles concernent.

5 – Organisation de processus internes respectant une charte

Afin de vous assurer une conformité optimale tout au long des diverses et différentes étapes de votre projet, veillez à ce que toutes vos procédures internes garantissent la prise en compte de la protection des données des personnes concernées, et cela sur l’ensemble des différents volets du projet. Vos processus internes doivent également contenir un volet lié aux évènements extérieurs qui peuvent survenir :

  • Faille de sécurité interne
  • Faille de sécurité sur un site web ou application
  • Gestion des demandes
  • Gestion des droits d’accès
  • Changement de prestataire et sous-traitants
  • Violation de données
  • Recueil du consentement des personnes concernées
  •          Etc.

6 – Documenter votre conformité

En cas de contrôle, vous devrez prouver votre conformité au RGPD, et ce à chaque étape de votre projet. L’ensemble des actions réalisées et futures ainsi que les documents relatifs à ces derniers doivent être à la fois légitimés, stockées et facilement accessibles.

Pour cela, vous devez présenter une documentation  à jour, et cohérente avec vos attentes et objectifs dans le cadre de votre projet et son déploiement.

2. Seconde étape : rédaction et déploiement des livrables

Comme indiqué plus haut, vous devez « Documenter votre conformité », pour montrer patte blanche.

Pour respecter cela, votre dossier devra comporter trois grandes catégories de documentation :

1 – Documentation sur vos traitements de données personnelles

  • Le registre des traitements,
  • Les AIPD, pour les données dites sensibles qui peuvent comporter des risques pour les personnes concernées,
  • L’encadrement des transferts en dehors de l’Union Européenne.

2 – Documentation sur l’information des personnes

  • Les mentions d’informations,
  • Le recueil du consentement des personnes concernées,
  • Les procédures pour les exercices de droits.

3 – Documentation sur les contrats définissant les rôles et responsabilités

  • Les contrats avec les sous-traitants,
  • Les différentes procédures internes lors d’une violation de données,
  • La preuve attestant du consentement des personnes concernées (quand le traitement de données repose sur cette base légale).

3. Troisième étape : mise en conformité des traitements

1 – Recenser l’ensemble de vos traitements

Votre Responsable de traitements doit tenir un registre des traitements de données à jour, indiquant pour chacun des traitements la finalité des données collectées :Le nom et les coordonnées du Responsables de traitements,

  • Les objectifs de chaque traitement avec sa finalité propre,
  • Les durées de conservation des données,
  • Les catégories de personnes concernées (nom, prénom, adresse, numéro de téléphone…),
  • Etc.

2 – Des données triées et à jour

A la lecture de votre registre de traitements vous devez être en mesure rapidement de définir et d’identifier si :

  • Vos données sont nécessaires aux objectifs que vous vous êtes fixés et donc, pertinentes,
  • Vos données sont soigneusement catégorisées en fonction de leur nature dans le but d’adopter et d’entreprendre des actions de sécurisation adaptées aux risques spécifiques liées à ces dernières (AIPD sur certaines catégories de données),
  • Vos données sont accessibles à certaines personnes, internes et/ou externe, avec un droit d’accès spécifique et encadré,
  • Vos données sont conservées et archivées avec une date limite fixée, qui précise exactement la durée de conservation.

3 – Des personnes informées

A chaque fois que vous récoltez une donnée, que ce soit au travers d’un formulaire sur votre site web, par l’intermédiaire d’un téléservice ou lors d’une communication orale, vous devez obligatoirement informer cette personne sur les conditions d’utilisation de leurs données et sur leurs droits.

Afin qu’une donnée soit « exploitable » par une organisation, il faut au préalable que la personne concernée donne son accord de manière à ce que cet accord remplisse les quatre critères cumulatifs du consentement. Ainsi, le consentement d’une personne doit être :

  • Libre,
  • Spécifique,
  • Éclairé,
  • Univoque.

4 – Une organisation qui facilite l’exercice des droits

L’ensemble des parties prenantes (collaborateurs, sous-traitants, prestataires…) d’une organisation possèdent des droits sur leurs données. Par conséquent, il incombe au Responsable de traitements de permettre à ces différentes personnes d’exercer leurs droits de la manière la plus simple possible :

  • Droit d’accès,
  • De rectification,
  • D’opposition,
  • A la portabilité,
  • A la limitation.

4. Le rôle de DPO Consulting dans la gestion et le déploiement d’un projet RGPD

Toutes nos équipes d’experts sont formées au travail en mode projet.

En conséquence, nous sommes en capacité d’intervenir à n’importe quel moment du processus pour gérer la mise en conformité d’une organisation, quelle que soit la taille de l’entité ou son secteur d’activité.

Notre souplesse et notre réactivité nous permettent de nous inscrire dans le déploiement  d’un PMEC (Plan d’action de Mise en Conformité) et d’un audit approfondi réalisé par nos soins, par une autre entreprise ou par un DPO interne.

Si vous souhaitez en savoir plus sur la
Gestion et déploiement de projet RGPD,
n’hésitez pas à nous contacter