Démarche RGPD

Désigner un pilote et les structures de gouvernances

  • Désigner un DPO :
  • Informer et conseiller les responsables de traitement
  • Référent entreprise sur l’application de règlement
  • Contact de l’autorité de régulation
  • Comité de sécurité des données :
  • Étudie les nouveaux traitements
  • Évalue les mesures existantes
  • Étudie la documentation
  • Réévalue des risques et nouvelles mesures à adopter

Cartographier les traitements

  • Identifier et documenter :
  • Les différents traitements des données personnelles
  • Les catégories de données personnelles traitées et l’endroit où elles sont stockées
  • Les objectifs poursuivis par les opérations de traitement de données
  • Les acteurs (internes ou externes) qui traitent ces données
  • Les flux en indiquant l’origine et la destination des données
  • Les éventuels transferts de données hors de l’Union européenne.

Prioriser les actions

  • En fonction de la nature des traitements et des données consommées :
  • S’assurer que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
  • Identifier la base juridique sur laquelle se fonde le traitement (consentement de la personne, contrat, obligation légale).
  • Réviser les mentions d’information.
  • S’assurer de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement...).
  • Vérifier les mesures de sécurité mises en place.
  • Identifier les traitements à risques (nature du traitement, nature des données, menaces potentielles, ...)

Gérer les risques

  • Pour chaque traitement identifié comme risqué :
  • Réaliser une étude d’impact (PIA)
  • Pour chaque traitement identifié comme risqué :
  • Les « éléments à protéger »
  • Les « impacts potentiels »
  • Les « sources de risques »
  • Les « supports »

Organiser les processus internes

  • Définir les processus permettant de :
  • Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement (privacy by design),
  • S’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données,
  • Sensibiliser, former les personnels et organiser la remontée d’information,
  • Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits
  • Anticiper les violations de données en prévoyant, la notification à l’autorité de régulation et aux personnes concernées dans les 72 heures.

Documenter la conformité

  • Documenter les traitements de données personnelles
  • Documenter l’information des personnes
  • Documenter les contrats qui définissent les rôles et les responsabilités des acteurs
  • Documenter les mesures de sécurité mises en œuvre