Derniers articles

Follow us on Social Media

RGPD

24 avril 2018

RGPD : les 6 étapes pour être en conformité

Le 25 mai prochain, le règlement général de protection des données (RGPD) entre en vigueur. Toute entreprise, peu importe sa taille, doit être en conformité avec la réglementation. Voici les 6 étapes pour être prêt le jour J.

 

ETAPE 1 : Désigner votre délégué à la protection des données

il est préférable de déclarer cette personne en ligne via ce formulaire :https://www.designations.cnil.fr/designations/designation/designation.new.action

ETAPE 2 : Pour le registre mentionné, je vous joins un modèle au format excel.
Voici les questions à se poser pour vous aider à y répondre :

Qui ?

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
  • Etablissez la liste des sous-traitants.


Quoi ?

  • Identifiez les catégories de données traitées
  • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)


Pourquoi ?

  • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).



Où ?

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez quels pays les données sont éventuellement transférées.



Jusqu’à quand ?

  • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.



Comment ?

  • Quelles mesures de sécurité sont mises en œuvre  pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

 

ETAPE 4 : Le PIA

Le PIA (analyse d'impact sur la protection des données) est indispensable compte tenu des données sensibles que vous récupérez. C'est la partie la plus complexe pour la mise en conformité.

La CNIL a créé un logiciel pour faciliter l'analyse. Nous devons le tester prochainement. Je vous en dirais plus après essai. En attendant, si vous souhaitez l'utiliser, voici le lien pour le télécharger :

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

 

ETAPE 5 : Organiser les processus interne

Je vous joins également un document plus détaillé de la CNIL, qui dresse la liste des précautions élémentaires en matières de données, et de transmissions de celles-ci en interne notamment

 

Etape 6 : Documenter la conformité 

Voici les points qui doivent apparaitre dans la documentation

La documentation sur vos traitements de données personnelles

  • Le registre des traitements (pour les responsables de traitements)  ou des catégories d’activités de traitements (pour les sous-traitants)
  • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes
  • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)

L'information des personnes

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pour l'exercice des droits



Les contrats qui définissent les rôles et les responsabilités des acteurs

  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

 

En cas de violation des données, il faut notifier la CNIL dans les 72 heures et aux personnes concernées dans les meilleurs délais. Je vous joins le PDF à remplir pour prévenir la CNIL.

 

documents-rgpd

 

Le Saviez-vous ?

Le RGPD favorise l'utilisation de logiciel européen. En effet, si vous utilisez des outils pour l'acquisition de Leads, ou clients, dont les bases de données sont en dehors de l'Europe, vous devrez faire apparaitre sur le formulaire deux opt-in au lieu d'un.

Les outils tels que Aweber, Mailchimp sont concernés.

article précédent article suivant
A propos de l'auteur / Constance Gatbois

Expert Digital et Entrepreneur depuis plus de 13 ans, j’accompagne les entreprises dans la transformation digitale, le développement de solutions web & mobile, les smart datas, la stratégie d’acquisition clients (SEO, SEM, …). A travers une expérience significative en France et à l’international, j’interviens au sein de grands groupes et ETI pour développer des solutions efficaces et centrées sur les usages clients.