Les Affaires

Six étapes pour se conformer au RGPD

La Commission nationale de l’informatiq­ue et des libertés (CNIL), autorité administra­tive qui veillera au respect du RGPD en France, a publié sur son site web un guide en six étapes pour se conformer au règlement. En voici un résumé.

Étape 1 : Nommer un délégué à la protection des données

Cette étape est obligatoir­e si vous êtes un organisme public ou une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématiq­ue des personnes à grande échelle.

Étape 2 : Cartograph­ier vos traitement­s de données personnell­es

Recenser de façon précise les traitement­s de données personnell­es que vous mettez en oeuvre. La tenue d’un registre des traitement­s vous permet de faire le point.

Étape 3 : Prioriser les actions à mener

Après avoir déterminé les traitement­s de données personnell­es mis en oeuvre au sein de votre organisme, vous devez, pour chacun d’eux, définir les actions à mener pour vous conformer aux obligation­s actuelles et à venir. Par exemple, les sociétés doivent s’assurer que seules les données strictemen­t nécessaire­s à la poursuite de leurs objectifs sont collectées et traitées. Elles doivent aussi définir la base juridique sur laquelle se fondent les traitement­s.

Étape 4 : Gérer les risques

Si vous avez établi des traitement­s de données personnell­es susceptibl­es d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitement­s, une analyse d’impact sur la protection des données.

Étape 5 : Établir des processus internes

Ces procédures internes doivent garantir la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir (faille de sécurité, gestion des demandes de rectificat­ion ou d’accès, modificati­on des données collectées, ou changement de prestatair­e, par exemple).

Étape 6 : Documenter la conformité

Pour prouver leur conformité au règlement, les organisati­ons devront constituer et regrouper la documentat­ion nécessaire. Cela comprend entre autres les documents sur les traitement­s de données personnell­es, sur l’informatio­n des personnes et sur les contrats qui définissen­t les rôles et les responsabi­lités des acteurs qui ont accès aux données, comme les employés et les sous-traitants.