La Réglementation de Protection Générale des Données ou RGPD entrera en application le 25 mai prochain. Afin de vous y préparer sereinement, voici une checklist des actions à mener pour être prêt le jour J !
La CNIL a proposé 6 grands axes pour procéder à la mise en place du règlement européen. Les voici décortiqués pour vous !
- Le délégué à la protection des données personnelles.
Au sein de votre structure, il garantit la mise en place du règlement et son bon fonctionnement. Il effectue un suivi précis des actions mises en place et de leur maintien. Il est obligatoire dès 2018 pour les établissements publics et les entreprises gérant un volume important des données. Dans tous les cas, la CNIL recommande fortement d’identifier ce nouveau “chef d’orchestre” dès 2018.
- Le registre de traitement
L’entreprise doit disposer en interne d’un document complet sur le traitement des données personnelles recueillies. Ce registre de traitement géré par le DPO comprend :
- la typologie de données recueillies
- la façon dont sont traitées ces données
- la ou les finalité(s) des données
- les personnes traitant les données (partenaires, ou internes seulement)
- le “flux” c’est à dire le parcours des données sur le territoire, en Europe et à l’international
Si la date du 25 mai n’est pas une date butoir, Jean Lessi secrétaire générale à la CNIL, recommande de bien tenir compte de ces nouvelles exigences, la bonne volonté des acteurs du numérique étant un critère important dans la mise en oeuvre de ces nouvelles obligations.
- L’analyse d’impact sur la protection des données (PIA)
Ce document vise à valider la conformité avec la RGPD et de mesurer l’impact sur la vie privée de ces données. Ce rapport est fortement conseillé dans le cas où vous cumulez 2 des critères suivants (fournis par la CNIL) lors du traitement de vos données.
- Évaluation ou notation;
- Décision automatisée avec effet juridique ou effet similaire significatif;
- Surveillance systématique ;
- Données sensibles ou données à caractère hautement personnel ;
- Données personnelles traitées à grande échelle ;
- Croisement d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
Exclusion du bénéfice d’un droit, d’un service ou contrat.
- Le registre de consentement
Vous devez conserver une preuve de consentement au recueil des données personnelles. Cette dernière comprend :
- la date et l’heure du consentement
- l’identité de l’individu
- le mode de collecte du consentement
- l’information fournie à l’utilisateur lors de l’expression de son consentement
Source : Social Shaker
Lors de ces différentes actions, pensez à impliquer les différents acteurs de votre écosystème : sous-traitants, prestataires, employés, tous doivent être informés de votre dispositif RGPD dès lors qu’ils manipulent ou participent au traitement des données que vous récoltez. Ceci peut par ailleurs faire partie des mesures contractuelles à prendre ainsi que des procédures internes en cas de violation de données.
Enfin l’ensemble de ces mesures doivent être transparentes et communiquées sur votre site à vos internautes, découvrez dans notre autre article comment la RGPD impacte vos actions marketing.
Source : RGPD, Gérer les Risques – CNIL
Besoin de vous mettre en conformité avec la RGPD ? Demandez la cheklist ou laissez la Dediteam vous accompagner !
