Se conformer au RGPD : la check-list

Révision de la politique de confidentialité, transparence, droit à l’oubli, droit à l’information… Pour se conformer au RGPD, les entreprises devront apporter plusieurs modifications à leurs procédures internes. Pour vous aider, voici une check-list des choses à faire pour se mettre en adéquation avec le nouveau règlement sur la protection des données qui entrera en vigueur le 25 mai 2018.

Tenue d’un registre des traitements

Le RGPD impose de nombreuses nouvelles obligations aux entreprises. Parmi elles, il y a l’obligation de tenir un registre des traitements pour les entreprises de plus de 250 employés. Ce registre peut être consulté à tout moment par la CNIL et doit comporter des informations sur le responsable du traitement, les destinataires des données et la finalité du traitement (profilage, analyse statistique, conception d’offres commerciales…).

Définir le périmètre les données sensibles

Selon le RGPD, les données sensibles doivent faire l’objet d’un traitement à part : cryptage et pseudonymisation. De plus, la nouvelle règlementation élargit la notion de données sensibles, du moins par rapport à la définition de la loi de 1978. Ainsi, le RGPD entend par données sensibles les informations concernant les origines raciales, les opinions politiques ou religieuses, l’orientation sexuelle, les données biométriques et/ou génétiques, et toute autre information liée à la santé.

Assurer le respect des droits des personnes

Le RGPD accorde une grande importance au consentement et au respect des droits des personnes concernées par les traitements. Et pour cause, à partir de 2018, les entreprises devront obtenir le consentement (donné de manière libre et éclairée) des personnes faisant l’objet d’un traitement et en garder la preuve. Elles doivent également garantir le respect du droit à l’oubli (droit de demander la suppression de ses données) et du droit à la portabilité (droit d’obtenir ses données et de les transmettre à une autre entité.

Actualiser les contrats fournisseurs

Les nouvelles règlementations sur la protection des données obligent de revoir les contrats avec les fournisseurs et les sous-traitants. Dorénavant, ces derniers pourront être coresponsables en cas de non-respect de la loi. C’est pour cette raison qu’il faudra intégrer des clauses rappelant les nouvelles obligations imposées par le RGPD dans les contrats des sous-traitants.

Élaborer une charte de bonnes pratiques

L’élaboration d’une charte de bonnes pratiques est importante pour rappeler aux collaborateurs et au personnel de l’entreprise les nouvelles pratiques imposées par le RGPD ainsi que les sanctions en cas d’écart à la loi RGPD. Si possible, une formation du personnel au RPGD peut être organisée pour maximiser la protection des données en interne et limiter les risques de fuite.

Faire le point sur les nouvelles missions du DPO

Après l’entrée en vigueur du RGPD, le DPO remplacera le CIL actuel. Et contrairement à ce dernier, les fonctions du DPO seront plus larges. Il informe et assure le respect de nouvelle règlementation au sein de l’entreprise. Même si la fonction ne requiert pas de diplôme spécifique, le futur DPO doit avoir une bonne connaissance du droit informatique et libertés et des technologies de l’information et de la communication.

Élaborer un plan d’action pour faire face aux fuites de données

Malgré de nombreuses précautions, les risques pour les droits et libertés ne peuvent être totalement exclus. C’est pourquoi les entreprises doivent mettre en place des procédures d’urgence pour y faire face : communication de la fuite à la CNIL et aux personnes concernées, si la fuite présente un risque élevé pour les droits et libertés. On entend par fuite des cas comme le vol de mot de passe, le piratage, ou encore la perte de données sensibles…