RGPD – Les principales préconisations (suite et fin)

Protéger les transferts de données

Le transfert doit être réalisé dans un format technique lisible, sans contraintes techniques et sans frais (à bien définir dans la politique de gestion des données).

Après le transfert des données, c’est la société réceptrice qui est tenue comme responsable de l’utilisation des données fournies, dans le respect de la réglementation sur les données personnelles.

Revoir les contrats avec les sous-traitants

Le règlement introduit une révolution : le principe de coresponsabilité. Il met fin à l’immunité des sous-traitants.

Le responsable du traitement doit s’assurer qu’ils sont bien engagés sur la voie de la conformité en insérant des clauses contractuelles rappelant leurs nouvelles obligations. Il peut aussi introduire une clause de « rendez-vous » – fixant les réunions d’étapes d’ici à mai 2018 – une clause d’audit, voire des pénalités financières en cas de manquement aux engagements qualité (SLA).

Rédiger une charte de bonnes pratiques

Cette charte est à annexer au règlement intérieur. Il permet de rappeler aux collaborateurs un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi.

Parmi les principes retenus, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Il doit aussi respecter les règles de sécurité définies par le service informatique.

Sensibiliser les collaborateurs aux données privées

Cette la notion de respect de la vie privée est un enjeu d’entreprise. Elle doit être partagée par tous.

Il convient de former les salariés aux nouvelles obligations introduites par le RGPD (exemple : un simple fichier Excel de contacts constitue un traitement de données personnelles).

Préparer un plan d’action en cas d’une fuite de données

Des procédures graduelles doivent être mise en place pour parer des cas de violation de données personnelles : communication de crise et d’information, notification à la Cnil dans les 72 heures par le responsable du traitement. Quand la fuite présente un risque élevé pour les droits et libertés (exemple : le vol de mots de passe ou de numéros de cartes bancaires), les personnes concernées doivent également en être averties « dans les meilleurs délais ».