Vendredi 16 Février 2018
Le Règlement général sur la protection des données n° 2016/679 du 27 avril 2016 entrera en application le 25 mai 2018.
Le Règlement Général sur la Protection des Données n° 2016/679 du 27 avril 2016 entrera en application le 25 mai 2018. En attendant, le projet de loi « Informatique et libertés 3 » (renvoyant au RGPD) va bientôt être adopté, mais ce texte devrait être modifié par ordonnance afin d’apporter la clarté et la lisibilité à ce texte fondamental pour la protection de la vie privée en France. Tous les responsables de traitements devront y être conformes, de la PME à la multinationale, de la petite commune aux grandes administrations. La CNIL propose une démarche en 6 étapes, d’autres en 7, 8 ou 10, peu importe le flacon pourvu que l’on parvienne à la conformité !
On observera en liminaire que la conformité au règlement doit être entendue au regard du « juridico-tech système » tant la réalité documentaire est plurielle. En effet, nonobstant le RGPD, il conviendra de prendre en compte la future loi « Informatique et Libertés - 3 » (en projet), le futur règlement e-privacy, la jurisprudence judiciaire et administrative, sans oublier celle de la Cour de justice de l’Union européenne, mais aussi les délibérations des autorités de contrôle du pays, (v. missions : art. 57 du RGPD,) les décisions du Comité européen de la protection des données (v. missions : art. 70 du RGPD), et enfin les normes telles que l’ISO 27001 étendue à la vie privé (en préparation). C’est dire si la documentation est riche et complexe, a fortiori si l’on est confronté à des implantations internationales. Il n’empêche que la démarche vers la conformité doit être rigoureuse pour arriver à bon port. Nous proposerons de baliser le chemin en cinq points.

1°) Désignation d’un pilote du projet de mise en conformité

La première des choses à faire : désigner un chef de projet de la mise en conformité au RGPD/GDPR. Cette personne aura pour mission de piloter le projet : entendons-nous, une gestion de la mise en conformité en mode projet. Cette personne peut être le Correspondant Informatique et libertés (CIL), s’il a été désigné ou s’il en exerce les fonctions. Elle devra faire appel à des compétences internes diverses ce qui le rapprochera de la sécurité des systèmes d’information, du juridique et des métiers. Cette personne aura également pour mission d’étudier la désignation du Délégué à la Protection des Données (DPD/DPO) et d’établir sa fiche de poste.

2°) Cartographie des traitements de données personnelles

Il s’agira d’identifier et d’analyser l’ensemble des traitements de données à caractère personnel mis en œuvre par l’organisation dans le cadre de ses activités en fonction de la nature des traitements (finalité, fondement juridique,…) et des catégories de données collectées et traitées.

Le but de cette première étape est de déterminer le contexte dans lequel s’inscrivent les traitements : contexte interne (métiers concernés, niveau de maturité des intervenants sur les traitements, mesures de protections mises en œuvre, …), contexte externe (secteur d’activités clients, rôle des partenaires,…) ainsi que les opérations réalisées dans le cadre des traitements tels que notamment les interconnexions, sous-traitance et transferts internationaux de données.

Cette étape nécessite la transmission de tous les documents utiles relatifs aux traitements  de données (ex : description, processus). 

3°) Cartographie des responsabilités respectives des parties prenantes  

La détermination du rôle des intervenants sur les traitements constituera le point de départ de cette étape. Pour ce faire, il conviendra de s’appuyer sur les opérations réalisées telles que par exemple : la fourniture de données (« Data provider ») ou l’hébergement du Système d’Information.
Dans ce contexte, il conviendra d’analyser la qualité des parties (Responsable de traitement/clients/partenaires/sous-traitants) afin de situer le statut respectif des intervenants (responsable de traitement / sous-traitant) et les responsabilités qui seront imparties à chacun d’eux. D’importantes conséquences juridiques en découleront ne fut-ce qu’en terme de sanctions de l’autorité de contrôle, pénales voire civiles.

4°) Evaluation de la conformité légale

Les mesures et les moyens adoptés pour la mise en œuvre de la gestion des traitements de données personnelles devront être analysées. Il sera tout particulièrement tenu compte des facteurs suivants : 
  • du respect des principes de protection (sécurité, confidentialité, respect des droits …) ; 
  • de l’organisation de la gouvernance de traitement (circulation de l’information sur le traitement de données, informations des personnes concernées, points de contact,…) ;
  • et des Labels / certifications (normes ISO, labellisation CNIL).

5°) Recommandations et plan d’action stratégique pour la mise en conformité légale

Au vu du cadre légal et réglementaire applicable au responsable de traitement pour la protection des données à caractère personnel (France, Union européenne et international), cette dernière étape consistera à présenter les actions stratégiques à mettre en œuvre ainsi que la définition d’un ordre de priorité. 

A toutes fins utiles, en fonction des résultats des analyses issues des points 1, 2 et surtout 3, il sera envisagé de prioriser les actions suivantes : 
  • Sensibilisation à la réglementation applicable des métiers concernés (formation, guide, jeux vidéos, …);
  • Implémentation des nouveaux outils de gouvernance : désignation d’un Délégué à la protection des données avec le bon niveau hiérarchique avec le cas échéant les points de contacts associés.
  • Intégration des nouvelles obligations :
    • Accountability (documentation de la conformité)
    • Privacy by design / Privacy by default
    • Analyse d’impact sur la vie privée pour les traitements à risques (ex : profilage)
    • Mise en place de l’organisation des notifications des violations de données (procédures, registre des violations).
A noter : comme l’immense majorité des projets digitaux (ou non) comporte un aspect Protection des données personnelles, la méthodologie ci-dessus trouvera aussi à s’appliquer. Reste l’ultime étape si on veut être sur les bons rails de la conformité avec les règles du RGPD/GDPR : l’échéancier du « chantier RGDP » mais là, à chacun sa méthode … 


Isabelle CANTERO, Avocat associé, Directeur du Pôle Vie privé et données personnelles, Administrateur de l’AFCDP.
Eric A. CAPRIOLI, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies
Société d ’avocats Caprioli & Associés, membre du réseau JurisDéfi


  • Ajouté : 16-02-2018
  • Modifié : 20-02-2018
  • Visiteurs : 975