RGPD : la checklist des actions à mener dans votre entreprise.

La Réglementation de Protection Générale des Données ou RGPD est entrée en vigueur depuis le 25 mai 2018. Afin de vous mettre en conformité avec la réglementation, voici une checklist des actions à mener dans votre entreprise.

La CNIL a proposé 6 grands axes pour procéder à la mise en place du règlement européen.

Les voici décortiqués pour vous !

  • Le délégué à la protection des données personnelles.

Au sein de votre structure, il garantit la mise en place du règlement et son bon fonctionnement. Il effectue un suivi précis des actions menées ainsi que leur maintien, une obligation depuis 2018 pour les établissements publics et les entreprises gérant un volume important des données. Dans tous les cas, la CNIL recommande fortement d’identifier ce nouveau “chef de service”.

  • Le registre de traitement

Votre entreprise doit disposer en interne d’un document complet sur le traitement des données personnelles recueillies. Ce registre de traitement géré par le DPO (Data Protection Officer) comprend :

  1. la typologie de données recueillies
  2. la façon dont sont traitées ces données
  3. la ou les finalité(s) des données
  4. les personnes traitant les données (partenaires, ou internes seulement)
  5. le “flux” c’est à dire le parcours des données sur le territoire, en Europe et à l’international

Jean Lessi, secrétaire générale à la CNIL, recommande de bien tenir compte de ces nouvelles exigences, la bonne volonté des acteurs du digital étant un critère important dans la mise en œuvre de ces nouvelles obligations.

  • L’analyse de l’impact sur la protection des données (PIA)

Ce document vise à valider la conformité avec la RGPD et de mesurer l’impact sur la vie privée de ces données. Ce rapport est fortement conseillé dans le cas où vous cumulez 2 des critères suivants (fournis par la CNIL) lors du traitement de vos données.

  1. Évaluation ou notation;
  2. Décision automatisée avec effet juridique ou effet similaire significatif;
  3. Surveillance systématique ;
  4. Données sensibles ou données à caractère hautement personnel ;
  5. Données personnelles traitées à grande échelle ;
  6. Croisement d’ensembles de données ;
  7. Données concernant des personnes vulnérables ;
  8. Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
    Exclusion du bénéfice d’un droit, d’un service ou contrat.

 

  • Le registre de consentement

Vous devez conserver une preuve de consentement au recueil des données personnelles. Cette dernière comprend :

  1. la date et l’heure du consentement
  2. l’identité de l’individu
  3. le mode de collecte du consentement
  4. l’information fournie à l’utilisateur lors de l’expression de son consentement

Source : Social Shaker 

Lors de ces différentes actions, pensez à impliquer les différents acteurs de votre écosystème : sous-traitants, prestataires, employés, tous doivent être informés de votre dispositif RGPD dès lors qu’ils manipulent ou participent au traitement des données que vous récoltez. Ceci peut par ailleurs faire partie des mesures contractuelles à prendre ainsi que des procédures internes en cas de violation de données.

Enfin l’ensemble de ces mesures doivent être transparentes et communiquées sur votre site à vos internautes,  découvrez dans notre autre article comment la RGPD impacte vos actions marketing.

 Besoin de vous mettre en conformité avec la RGPD ? 

Laissez-nous vous accompagner! Contactez-nous !