Conformité au Règlement général sur la protection des données à caractère personnel (RGPD)
Notre démarche d'accompagnement est pragmatique et s'adapte à vos besoins et objectifs.
Elle vise à vous permettre de visualiser rapidement les éventuelles faiblesses de vos activités, à vous permettre d'initier à
brefs délais les premières modifications nécessaires tout en disposant d'une feuille de route claire et adaptée à vos contraintes
concernant les autres actions à entreprendre.
Elle vise également à vous transmettre dès le départ une culture de la protection des données à caractère personnel, qui vous
sera nécessaire pour asseoir la perennité des changements entrepris.
Cette démarche peut être exclusivement juridique et éthique ou associée à un audit de la sécurité de vos traitements de données
voire de votre système d'information, en coordination avec nos partenaires experts de la gestion de risque et de la gouvernance.
Elle est par ailleurs exécutée en étroite collaboration avec un cabinet d'avocats lorsqu'un conseil juridique doit
vous être apporté.
Cette démarche inclut différentes étapes génériques, qui, selon le contexte, seront mises en oeuvre complètement ou partiellement,
de manière plus ou moins itérative :
- Etat des lieux / inventaire
Il s'agit du point de départ d'une démarche de conformité et des analyses subséquentes.
En résulte un tableau permettant de visualiser les éléments essentiels de chaque traitement (données, processus,
traitements, flux, supports, lieux, accès...) identifié par sa finalité spécifique (cette finalité déterminant une
large part de vos droits et obligations).
- Analyse de conformité au RGPD
Cette analyse vise à confronter de manière systématique vos traitements et pratiques aux exigences du RGPD, à l'aide d'une méthode
que nous avons créée à l'aune de notre expérience de la protection des données à caractère personnel et plus
largement de la vie privée (incluant plus
de quinze ans de recherche appliquée et une connaissance fine des décisions de la Cour européenne des droits de l'Homme, des décisions
du Comité européen à la protection des données - ancien "Groupe de l'article 29" et des opinions de la CNIL).
Cette analyse inclut, lorsque nécessaire, les tests de "compatibilité" et d'"intérêt légitime" requis
dans certains contextes par le RGPD.
Cette analyse inclut également, lorsque nécessaire, des tests de "nécessité" et de "proportionalité",
également requis dans certaines situations.
- Analyse de risque pour les droits et libertés
Une analyse de risque pour les droits et libertés est souvent nécessaire pour répondre à l'obligation de
sécurité posée à l'article 32 du RGPD. Par ailleurs, une telle analyse est au coeur de "l'étude d'impact sur les
données à caractère personnel" qu'exige le RGPD dans certaines situations.
Il convient toutefois de noter que la pertinence de cette analyse repose en partie sur votre état de conformité au RGPD.
Si l'étape précédente met à jour des correctifs indispensables, il est judicieux de n'effectuer l'analyse de risque qu'après leur
mise en oeuvre (ou de se projeter à ce moment lors de son exécution). A défaut, l'opération revient à analyser inutilement les risques
posés par un contexte appelé à être modifié à brève échéance.
Nous pouvons effectuer cette analyse du seul point de vue juridique, en lien avec votre service de sécurité
informatique, ou en prenant en charge ses aspects juridiques et techniques en synergie avec nos partenaires experts
en gestion de risque et gouvernance.
Notre méthode d'analyse de risque se base sur la méthode ebios et le standard ISO 27001 (adaptés par nos soins à l'analyse de
risques pour les droits et libertés).
- Etude d'impact sur les droits et libertés
Cette analyse d'impact est obligatoire dans certaines situations.
Ceci étant dit, elle sera dans de nombreux cas déjà effectuée dans sa plus grande partie, puisqu'elle
se compose de la description systématique des traitements, d'une analyse de conformité au RGPD, de
tests de nécessité et de proportionnalité et d'une analyse de risque pour les
droits et libertés.
- Synthèse des faiblesses et mesures correctrices à mettre en oeuvre
Les faiblesses mises à jour lors de nos analyses et les mesures correctrices qu'elles imposent peuvent vous être présentées
au sein d'un rapport d'étude dont la structure devra être actée entre nous en amont (généralement plus adapté aux projets de recherche),
ou sous la forme d'une courte synthèse (généralement plus adaptée aux besoins d'une entreprise).
Cette étape implique idéalement une rencontre physique destinée à vous expliquer les résultats de nos analyses.
- Plan d'action et feuille de route, accompagnement de la mise en oeuvre
Sur la base des résultats de nos analyses, de vos objectifs et de vos contraintes, nous pouvons établir ou vous aider à établir
un plan d'action et une feuille de route visant la mise en oeuvre des mesures correctrices nécessaires à votre conformité.
Nous pouvons également vous accompagner dans cette mise en oeuvre, à votre convenance.
- Création de registres
Des registres de traitements (l'un visant vos activités de responsable de traitement, l'autre visant vos activités éventuelles
de sous-traitant) sont imposés par le RGPD dans un grand nombre de cas, et sont recommandés dans les autres situations. De tels
registres peuvent être générés à partir du tableau descriptif des traitements soumis à analyses de conformité et/ou de risque et
seront dès lors en totale cohérence avec vos pratiques.
Le moment de cette étape dépend de vos besoins et objectifs, car la description de vos traitements sera différente à chaque
étape de votre feuille de route. Si nécessaire, plusieurs versions peuvent être créées dans un souci de refléter ces étapes.
- Sensibilisation et formation
Nos interventions peuvent se décliner en différents modules et niveaux, couvrant la simple sensibilisation de vos collaborateurs au transfert
de compétences vous permettant de devenir acteur de votre conformité et de sa pérennité. Des sessions pratiques peuvent en particulier vous apprendre à effectuer vous même des tests réguliers de nécessité, de proportionnalité,
de compatibilité et d'intérêt légitime (ce dernier test étant impératif dans le cadre de certains traitements, pour vous permettre de déterminer
le caractère indispensable ou non du consentement des personnes dont vous traitez les données).