RGPD / GDPR : la check-list pour votre entreprise !

RGPD / GDPR : la mise en conformité approche

Le RGPD / GDPR signifie Règlement Général sur la Protection des Données (General Data Protection Regulation). En effet, à partir du 25 mai 2018, les entreprises de l’Union Européenne vont devoir modifier radicalement leur manière de gérer et de conserver les données personnelles. Ainsi, voici les procédures à revoir en interne.

1/ Avoir un registre des traitements

En effet, dans le cadre du RGPD / GDPR, les entreprises qui comptent plus de 250 employés doivent posséder un registre contenant tous les traitements des données personnelles. De plus, il doit régulièrement être mis à jour. Ainsi, ce registre peut être consulté n’importe quand par la CNIL.
Il doit comporter les informations de contact du responsable du traitement des données, la raison des traitements (commercial, data science etc.) etc.

2/ Repérer les données sensibles

Et leur périmètre ! Ainsi, la CNIL conseille de crypter ou d’utiliser des pseudos pour les données les plus importantes / sensibles. De plus, le RGPD / GDPR est plus « protectrice » que la loi de 1978. En effet, elle va plus loin concernant les informations relatives aux origines ethniques, religion, politique, syndicat etc.

3/ Assurer les droits individuels

En effet, une entreprise doit obligatoirement  avoir le consentement de toutes les personnes concernées par le RGPD / GDPR. De plus, elle doit pouvoir en fournir la preuve. En outre, les individus mineurs de moins de 16 ans ont besoin du consentement d’un parent ou d’un tuteur. Aussi, le responsable du traitement des données doit pouvoir garantir le droit à l’oubli aux personnes le demandant. Ainsi, leurs données personnelles seront, dans ce cas-là, supprimées. De plus, le RGPD / GDPR offre également le droit à la portabilité. En effet, un individu peut avoir accès à ses données à tout moment, dans un format lisible et structuré. Ainsi, il peut les transmettre à une autre personne.

4/ Modifier les contrats fournisseurs

Le RGPD / GDPR signe la fin de l’immunité des prestataires et sous-traitants. En effet, le règlement introduit le principe de coresponsabilité. Ainsi, le responsable du traitement doit être sûr que les acteurs sont sur le bon chemin de la conformité. Par conséquent, il doit inclure des clauses contractuelles qui rappellent leurs obligations ainsi qu’une clause « rendez-vous ». En effet,cette dernière défini toutes les réunions jusqu’à mai 2018. De plus, le responsable peut également inclure une clause d’audit et des pénalités financières si les engagements qualité (SLA) ne sont pas respectés.

5/ Créer une charte de bonnes pratiques

En effet, une charte en lien avec le règlement intérieur rappelle aux acteurs de l’entreprise les bonnes pratiques à respecter … Et les sanctions encourues en cas inverse ! Notamment le fait qu’un employé ne peut consulter ou supprimer des données qui ne rentrent pas dans ses fonctions. De plus, il ne peut pas non plus enregistrer des data sur un support externe sans que ses supérieurs ne leur aient donné leurs accords. En outre, le salarié doit appliquer les règles de sécurité mises en place par le service informatique.

6/ Rédiger les missions du DPO

Le DPO signifie Data Protection Officer, et devra remplacer le CIL (Correspondant Informatique & Libertés) en mai 2018. De plus, ses pouvoirs seront plus importants que son prédécesseur. En effet le CIL garantissait le respect et l’application de la loi informations & libertés. Alors que le DPO contrôle les règles de protection en interne et s’assure de leur bonne mise en place.
Cliquez ici pour découvrir les détails sur le rôle du DPO.

7/ Être prêt pour le pire !

Et par là nous entendons la fuite de données. En effet, l’entreprise doit impérativement créer et appliquer des procédures d’escalade qui seront déclenchées en cas de violation de données personnelles. Notamment au niveau de la communication de crise et d’information de l’entreprise. Ainsi, le responsable du traitement doit en informer la CNIL dans les 72h suivant la prise de connaissance de la fuite de données. De plus, il doit également prévenir « dans les meilleurs délais » les individus concernés, lorsque la fuite de data prend une ampleur très importante. Ainsi, par exemple, en cas de vol de mots de passe ou d’informations bancaires.
RGPD GDPR Protection Expert-Com Data

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email