Pour réussir sa mise en conformité avec le RGPD, les entreprises doivent se préparer. Voici 6 points essentiels à ne pas manquer pour être prêts au 25 mai 2018…
1/ Nommer un Délégué en charge de la protection des données
Les données personnelles ne sont pas une mince affaire. Il vous faut donc trouver la bonne personne pour les piloter au sein de votre entreprise : un(e) délégué(e) de la protection des données. Ses missions ? Référencer, conseiller celle ou celui qui traite les données et contrôler en interne le respect du règlement par l’ensemble des employés. Afin de rester au courant de l’évolution du RGPD, la ou le délégué(e) s’informe sur le contenu des nouvelles obligations. Le but est de sensibiliser les dirigeants et décideurs de l’entreprise sur l’impact pécunier que peuvent avoir ces nouvelles règles. Disposer de cette aide précieuse vous permet d’appréhender mai 2018 avec plus de sérénité.
Certaines entreprises décideront de s’en passer. Mais avoir un(e) délégué(e) de la protection des données est obligatoire si votre activité comprend le suivi quotidien de personnes à grande échelle ou le traitement à grande échelle de données « sensibles » ou contraintes à des condamnations pénales et infractions.
Au final, il vous est vivement recommandé de désigner la bonne personne à cette fonction. Celle-ci doit être capable d’assurer la conformité avec le RGPD, de dialoguer avec les autorités de protection des données et tenir éloigné les risques de contentieux.
2/ Définir une cartographie de votre traitement des données personnelles
La cartographie vous permet d’avoir une vue d’ensemble précise de vos données. Le recensement doit se faire de cette façon :
- Identifier les données personnelles : collecter, enregistrer, organiser, catégoriser, définir les objectifs de chacune, les mettre à disposition, les verrouiller, les effacer ou les détruire,
- Définir clairement les acteurs internes (délégué(e)) et externes (sous-traitance, prestataires) traitant les données,
- La provenance du flux avec l’origine et la destination des données pour analyser par exemple le transfert de données hors de l’Union Européenne,
- L’envoi rapide et dans un format précis des données aux utilisateurs.
3/ Définir les actions prioritaires pour être en conformité
Pour éviter certains risques liés au traitement de données, il est nécessaire d’identifier les actions à mener en priorité pour être conforme aux obligations actuelles ou à venir.
Voici une liste non exhaustive de ce que vous devez prendre en compte :
- Valider que les informations intégrées à votre base juridique liée au traitement des données soit respectée (consentement de la personne, intérêt légitime, contrat, obligation légale),
- S’assurer que seules les données nécessaires à la poursuite d’objectifs sont collectées et traitées;
- Revoir vos mentions d’information afin qu’elles soient conformes aux obligations du RGPD (articles 12,13 et 14);
- Vérifier que vos sous-traitants ou prestataires soient informés de leurs nouvelles obligations relatives au RGPD et que les clauses contractuelles soient respectées en matière de sécurité, de confidentialité et de protection des données personnelles traitées
- Prévoir des modalités d’exercice des droits des personnes (clients, collaborateurs…) tels que le droit d’accès, de rectification, droit à la portabilité, retrait du consentement.
4/ Prévoir la gestion des risques liés aux données personnelles
Soyez prévoyants ! Certains traitements de données peuvent engendrer des risques élevés pour les droits et libertés des personnes concernées. Une étude d’impact sur la protection des données devra être menée avant la collecte et le traitement de données. Celle-ci permettra entre autres de :
- Détenir un traitement des données personnelles qui soit respectueux de la vie privée;
- D’apprécier les impacts sur la vie privée des personnes concernées;
- Démontrer que les principes fondamentaux du RGPD sont respectés.
5/ Assurer la protection des données personnelles en interne
La protection des données personnelles est un sujet de chaque instant. C’est pourquoi la mise en place de procédures internes est primordiale pour faire face aux événements de la vie d’une entreprise tels que : des failles de sécurité, la gestion de demandes de rectification ou d’accès par des collaborateurs ou clients, la modification de données collectées…
6/ Détenir des documents actualisés et conformes
Afin de prouver votre conformité au RGPD, vous devez constituer et regrouper un ensemble de documents. Voici les éléments que vous devez y trouver :
- Le registre de traitement des données personnelles,
- Les analyses d’impact sur la protection des données (PIA),
- Les mentions d’information,
- Les modèles de recueil de consentement des personnes concernées,
- Les procédures mises en place pour l’exercices des droits,
- Les contrats avec les sous-traitants,
- Les procédures internes en cas de violation de données,
- Les preuves de consentement pour les traitements de données.
Vous êtes fin prêts !
Formez vos utilisateurs sur la sécurité de leurs systèmes d’information
Je souhaite en savoir plus sur le RGPD
Source : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes