Six étapes pour se conformer au RGPD
La Commission nationale de l’informatique et des libertés (CNIL), autorité administrative qui veillera au respect du RGPD en France, a publié sur son site web un guide en six étapes pour se conformer au règlement. En voici un résumé.
Étape 1 : Nommer un délégué à la protection des données
Cette étape est obligatoire si vous êtes un organisme public ou une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle.
Étape 2 : Cartographier vos traitements de données personnelles
Recenser de façon précise les traitements de données personnelles que vous mettez en oeuvre. La tenue d’un registre des traitements vous permet de faire le point.
Étape 3 : Prioriser les actions à mener
Après avoir déterminé les traitements de données personnelles mis en oeuvre au sein de votre organisme, vous devez, pour chacun d’eux, définir les actions à mener pour vous conformer aux obligations actuelles et à venir. Par exemple, les sociétés doivent s’assurer que seules les données strictement nécessaires à la poursuite de leurs objectifs sont collectées et traitées. Elles doivent aussi définir la base juridique sur laquelle se fondent les traitements.
Étape 4 : Gérer les risques
Si vous avez établi des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données.
Étape 5 : Établir des processus internes
Ces procédures internes doivent garantir la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir (faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, ou changement de prestataire, par exemple).
Étape 6 : Documenter la conformité
Pour prouver leur conformité au règlement, les organisations devront constituer et regrouper la documentation nécessaire. Cela comprend entre autres les documents sur les traitements de données personnelles, sur l’information des personnes et sur les contrats qui définissent les rôles et les responsabilités des acteurs qui ont accès aux données, comme les employés et les sous-traitants.