Pour être efficace, la gouvernance des données personnelles doit être pilotée. La Cnil préconise de désigner un délégué à la protection des données (DPO en anglais pour Data Protection Officer) qui aura un triple rôle : informer, conseiller et contrôler. Les entreprises disposant déjà d’un correspondant « informatique et liberté » pourront le faire évoluer vers cette nouvelle fonction.

Avant de commencer, il faut faire un point de la situation. C’est le but de la cartographie des traitements déjà mis en œuvre dans l’entreprise. Elle permettra d’établir un registre et de mesurer l’écart à combler pour assurer une mise en conformité avec le RGPD.

Sachant qu’il est impossible d’aboutir d’emblée à une conformité totale, les entreprises vont devoir prioriser leurs actions. À partir de quel critère ? La Cnil propose de fixer l’échelle des priorités à partir des risques que les traitements font peser sur les droits et les libertés des personnes concernées.

Une fois identifiés les traitements pouvant présenter des risques élevés pour les droits et libertés des personnes concernées, l’entreprise doit mener une analyse d’impact sur la protection des données. À cette fin, la Cnil propose gratuitement un logiciel. Baptisé PIA (Privacy Impact Assessment), il peut être utilisé sur un poste de travail ou sur un serveur, quel que soit le système d’exploitation utilisé (Windows, MacOS ou Linux). Réalisé sous le régime « open source », le code de l’application est accessible et modifiable, ce qui permet de l’adapter à des configurations spécifiques.

Se conformer au RGPD implique de revoir l’ensemble des processus traitant de données personnelles. Il faudra les modifier afin qu’ils assurent le niveau de protection exigé par le règlement mais aussi qu’ils permettent aux personnes d’exercer réellement leurs droits. Dès leur conception, les traitements doivent ainsi garantir une confidentialité et une sécurité maximales.

En cas de contrôle, les entreprises vont devoir démontrer au régulateur qu’elles ont bien pris les mesures assurant leur conformité. D’où la nécessité de constituer une documentation regroupant l’ensemble des documents relatifs aux traitements. Elle pourra comprendre le registre des traitements mais aussi les éléments démontrant que les obligations du RGPD ont bien été mises en œuvre ainsi que les contrats passés avec les prestataires informatiques ou encore les notifications de failles de sécurité si elles ont conduit à un vol de données.