Fermer la publicité
Journal d'information juridique et d'annonces légales

RGPD : trois questions à Guillaume Desgens-Pasanau

le - - Droit - Actualité du droit

RGPD : trois questions  à Guillaume Desgens-Pasanau
© A.P.

Ancien directeur juridique de la Cnil devenu magistrat, Guillaume Desgens-Pasanau, décrypte les enjeux du règlement européen sur la protection des données, et indique aux entreprises les actions prioritaires à mettre en œuvre dès aujourd'hui pour se mettre en conformité avec le RGPD qui entrera en vigueur le 25 mai 2018.

Affiches Parisiennes : Quel est le rôle de la Cnil à ce moment charnière ?

Guillaume Desgens-Pasanau :
La Cnil a mis en place tout un programme d'accompagnement des professionnels dans le contexte du RGPD qui se traduit, pour le moment, surtout par des contenus qu'elle met en ligne sur son site. Par exemple, elle vient d'ajouter un outil pour faire des tests sur les analyses d'impacts sur la protection des données. Elle a aussi mis en ligne des modèles de clauses à insérer dans les contrats conclus avec des partenaires, notamment dans les contrats de sous-traitance. La Cnil met à disposition des outils que les professionnels pourront utiliser mais cela reste assez général.

Ensuite, il y a la possibilité de contacter la Cnil qui dispose d'un service téléphonique de renseignement des correspondants informatique et libertés (CIL). Ainsi, toutes les structures ayant désigné un CIL ou un DPD peuvent poser des questions via cette hotline.

Au-delà, il y a toujours la possibilité de contacter le service juridique, notamment pour faire ce qu'on appelle des demandes de conseil.

A.-P. : Que doivent faire les entreprises en priorité ?

G. D.-P. : La première chose à faire est de recenser les traitements de données existant dans l'entreprise, avec le responsable du système d'information et les différents services opérationnels. Il faut pouvoir identifier les fichiers de données soumis au RGPD et évaluer leur ampleur. Il faut aussi recenser tous les logiciels et applications utilisés. Ce travail de recensement et de classification sert à lister les grandes finalités de traitement qui seront enregistrées et tenues à jour dans un « registre de traitement » public.

Ensuite, il faut désigner un référent qui va coordonner les différentes actions de conformité et de protection à mettre en œuvre. Ces actions sont de trois natures : juridique, par exemple avec la vérification de la durée de conservation et de prescription des données ou les mentions d'information à faire figurer sur les contrats ; technique avec la dimension de sécurité informatique ; organisationnelle avec notamment la gestion des droits d'accès aux données des personnes.

Évidemment, plus les traitements de données sont nombreux, plus ils sont complexes et plus il y a de travail à faire. C'est variable en fonction des données traitées. Une PME qui a simplement deux petits fichiers clients et de ressources humaines n'aura certainement pas des milliers de choses à faire pour se mettre en conformité, à l'inverse de l'entreprise qui traite des données de santé par exemple.

A.-P. : Un conseil d'expert juridique pour les sociétés qui se préparent au RGPD ?

G. D.-P. : Je recommande d'aller sur le site de la Cnil, de regarder les méthodologies qu'elle met à disposition pour faire un bon recensement des traitements de données et de désigner rapidement un référent. Il y a un arbitrage à faire pour nommer cette personne. Il me semblerait assez logique de désigner le CIL car il a déjà fait le travail de recensement et a une vision globale des données de l'entreprise et des risques associés.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide