RGPD : mettre votre structure en conformité en 6 étapes

Le RGPD (Règlement général sur la protection des données, règlement européen 2016/679) est applicable depuis le 25 mai 2018, aux côtés de la loi Informatique et Libertés. Il concerne toute structure qui traite des données personnelles — un fichier d'adhérents, une liste de diffusion, un logiciel de paie ou un formulaire de contact suffisent à entrer dans son champ.

Bonne nouvelle : la conformité n'est pas un projet insurmontable. La CNIL (l'autorité française de protection des données) propose une démarche en six étapes que ce guide reprend et explique de façon concrète, que vous soyez une collectivité, une entreprise ou une association à Mayotte.

1. Désigner un pilote#

Identifiez une personne responsable du sujet « données personnelles ». Pour les organismes publics et certaines structures, c'est un délégué à la protection des données (DPO) dont la désignation est obligatoire ; pour les autres, un référent interne suffit dans un premier temps. L'essentiel : que quelqu'un porte le sujet et coordonne les actions.

2. Cartographier vos traitements#

C'est l'étape centrale : recenser, dans un registre des traitements (prévu par l'article 30 du RGPD), tout ce que vous faites des données personnelles. Pour chaque traitement (paie, adhésions, newsletter, vidéosurveillance…), notez :

• la finalité (à quoi sert le traitement) ;
• les catégories de données collectées ;
• les personnes concernées et les destinataires des données ;
• la durée de conservation ;
• les mesures de sécurité en place.

Tenir ce registre, c'est déjà se poser la bonne question pour chaque donnée : en ai-je vraiment besoin ? (principe de minimisation).

3. Prioriser les actions#

À partir du registre, identifiez les écarts et hiérarchisez. Quelques points à vérifier en priorité pour chaque traitement :

• une base légale valable (consentement, contrat, obligation légale, intérêt légitime…) ;
• une information claire des personnes (mentions sur les formulaires, page de confidentialité) ;
• la minimisation des données et des durées de conservation ;
• une attention particulière aux données sensibles (santé, opinions…) et aux données de mineurs.

4. Gérer les risques#

Pour les traitements susceptibles d'engendrer un risque élevé pour les personnes (par exemple une surveillance à grande échelle ou des données sensibles), le RGPD impose de réaliser une analyse d'impact (AIPD), prévue par l'article 35. Elle aide à évaluer les risques et à décider des mesures de protection adaptées.

5. Organiser les processus internes#

La conformité se vit au quotidien. Mettez en place des réflexes :

• prendre en compte la protection des données dès la conception d'un projet (privacy by design) ;
• savoir répondre aux demandes des personnes (accès, rectification, effacement, opposition) dans le délai d'un mois ;
• savoir réagir à une violation de données : en cas de fuite, la CNIL doit en principe être notifiée dans les 72 heures (article 33), et les personnes informées si le risque est élevé.

6. Documenter la conformité#

Le RGPD repose sur la responsabilité (accountability) : vous devez pouvoir prouver votre conformité. Conservez et tenez à jour vos preuves — registre, mentions d'information, contrats avec les sous-traitants, politiques internes, analyses d'impact. C'est ce dossier qui vous protège en cas de contrôle… et qui inspire confiance à vos usagers.

Pour aller plus loin#

Ressources officielles de la CNIL :

• RGPD : se préparer en 6 étapes
• Le registre des activités de traitement
• Appliquer le RGPD dans une TPE/PME

Ce guide est informatif et ne constitue pas un conseil juridique. En cas de doute sur un traitement particulier, rapprochez-vous de la CNIL.