Obligation RGPD : Comment se préparer ?
Quelles sont les étapes pour se préparer à l’application du RGPD ?
Etape 1 – Informer et éduquer l’équipe de direction
Assurez-vous que tous les membres de la direction connaissent et comprennent les enjeux du RGPD et de l’impact qu’il aura sur l’ensemble de votre organisation, afin qu’ils adhèrent aux changements nécessaires.
Etape 2 – Vérifier l’état des données et de la documentation
Quelles sont les données personnelles que vous détenez à l’heure actuelle ?
D’où proviennent-elles et qui vous les a confiées ?
Quelles sont vos faiblesses et qu’est-ce qui pourrait vous causer des ennuis ?
Où sont actuellement stockées vos données ? Gardez une trace de cette information.
Etape 3 – Revoir ses clauses de confidentialité
Quelles mises à jour sont nécessaires ?
Intégrer le principe de respect de la vie privée par défaut dans chaque projet, dès leur conception – ne demandez pas plus de données personnelles que vous n’en avez réellement besoin, et ayez recours à l’anonymisation, la pseudonymisation et l’encryption.
Etape 4 – S’assurer que les droits des utilisateurs sont respectés
Vérifiez vos procédures actuelles en ce qui concerne les données personnelles de vos utilisateurs et assurez-vous que vous êtes bien en mesure de faire respecter leurs droits :
D’être informés de tout ce qui concerne leurs données et l’utilisation qui en est faite, d’objecter, de les supprimer, d’être oubliés, d’en obtenir une copie (gratuitement et en moins d’un mois).
A la portabilité des données, qui permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable.
D’interdire l’utilisation de leur données pour des traitements aboutissant à une prise de décision automatisée ou un profilage.
Etape 5 – S’assurer que le consentement des utilisateurs est respecté
Evaluez la manière dont vous cherchez, obtenez et archivez les différentes autorisations de vos utilisateurs :
Vos archives sont-elles précises, mises à jour et sécurisées ?
Demandez vous l’autorisation de vos utilisateurs de manière explicite et distincte selon l’usage que vous souhaitez faire de leurs données ?
Les enfants ne peuvent donner personnellement leur autorisation qu’à partir de l’âge de 16 ans, parfois 13. En dessous de cette limite, le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Êtes-vous concernés par ce cas spécifique ?
Etape 6 – Mettre en place une procédure de management des risques
Assurez-vous d’avoir mis en place les procédures nécessaires pour détecter, signaler et investiguer en cas de violation des données que vous traitez.
Etape 7 – Implémenter une AIPD (Analyse d’Impact relative à la Protection des Données)
Il s’agit de s’assurer que tout risque élevé pour les droits et libertés des personnes physiques lié au traitement de données, au sein de votre organisation, soit parfaitement identifié et traité.
Déterminez s’il vous faut nommer/engager un Délégué à la Protection des Données, qui sera chargé de l’application des règles en matière de protection des données au sein de votre organisation et notamment d’en informer directement les membres de l’équipe de direction.
Assurez-vous que tous les contrats qui vous lient à des entreprises tierces soient également mis à jour pour tout ce qui concerne le respect et la protection des données.
Etape 8 – Nommer un Délégué à la Protection des Données.
Vous pouvez soit directement l’engager, soit avoir recours à un consultant externe. Il/elle aura pour mission de s’assurer de la protection de l’ensemble des données de vos utilisateurs. Cette nomination est obligatoire si :
Votre organisation appartient au secteur public;
Le coeur de l’activité de votre entreprise implique le suivi régulier et systématique des données d’individus à grande échelle; ou
Le coeur de l’activité de votre entreprise implique la gestion à grande échelle de données personnelles sensibles ou relatives à des condamnations pénales et infractions.
Si vous engagez un/e DPO, en tant qu’employeur, vous vous devez de :
Lui fournir les ressources nécessaires pour mener sa tâche à bien et conserver son niveau de connaissances;
Lui donner accès aux données personnelles et aux opérations de traitement;
Vous assurer qu’il/elle est impliquée dans tout ce qui concerne de près ou de loin la protection des données personnelles;
Faire en sorte qu’il/elle puisse être facilement contacté(e) par les autorités publiques et de contrôle.
Etape 9 – Sous-traitants
Plus d’informations sur RGPD et prestataires.
Etape 10 – Informer et éduquer vos employés
Vous vous devez d’informer et éduquer l’ensemble de vos employés sur la manière dont doivent légalement être collectées et traitées les données de vos clients.