10 étapes vers la conformité RGPD : Etes-vous prêts ?

Le Règlement Général Européen sur la Protection des Données (RGPD) sera mis en application dans moins de 8 mois, il est donc temps de réviser les étapes à suivre afin de se conformer.

Afin de vous aider dans cette démarche, le DPC (Data Protection Commissioner) a créé une liste de conformité résumant les mesures à prendre d’ici le 25 mai 2018.

  1. En savoir plus sur les attentes

Selon notre rapport sur le RGPD, publié en juillet 2017, seulement 66% des cadres supérieurs ont été informés concernant le nouveau règlement.

Les cadres supérieurs auront un rôle important à jouer dans la manière dont leur entreprise se préparera au RGPD. Il est donc essentiel qu’ils sachent quoi faire et quels sont les risques en cas de non-conformité. Tout salarié de l’entreprise impliqué dans le projet de mise en conformité ou le traitement de données personnelles devra comprendre les obligations auxquelles il fait face.

  1. Se responsabiliser

Le règlement comprend des dispositions ayant pour but de mettre en avant la responsabilité. Le DPC conseille donc aux entreprises de faire un inventaire des données personnelles qu’ils détiennent et de les analyser en répondant aux questions suivantes :

  • Pourquoi détenez-vous ces données ?
  • Comment avez-vous obtenu ces données ?
  • A quelles fins ces données ont-elles initialement été recueillies ?
  • Combien de temps conserverez-vous ces données ?
  • Ces données sont-elles sécurisées (cryptage et accès) ?
  • Partagez-vous ces données avec des tierces parties et, si oui, pour quelles raisons ?
  1. Réviser les droits à la protection de la vie privée

Les personnes concernées ont un certain nombre de droits relatifs à la manière dont les entreprises collectent et conservent les données. Cela comprend :

  • Droit d’être informé
  • Droit de rectification
  • Droit d’effacement
  • Droit de limiter le traitement
  • Droit à la portabilité des données
  • Droit de contester
  • Droit d’accès

La plupart de ces droits sont similaires à ceux des lois de protection des données actuelles mais il y a des changements significatifs. Il est important de vous familiariser avec ces changements et de vous organiser en fonction.

  1. Communiquer avec les employés et les utilisateurs

Lorsque vous collectez les données personnelles de vos employés, de clients ou d’utilisateurs vous vous devez de connaître leurs droits.

  1. En savoir plus sur les fondements juridiques

Les entreprises doivent pouvoir prouver qu’elles ont une raison légitime au traitement des données. La plupart des entreprises utilisent souvent le consentement par défaut mais le RGPD renforce les règles d’obtention et de conservation des consentements.

Il y a cinq autres raisons légitimes au traitement de données :

  • Un contrat avec la personne concernée
  • La conformité avec des obligations légales
  • Intérêts vitaux
  • Une tâche publique
  • Des intérêts légitimes

Les entreprises doivent savoir quand et comment obtenir ces raisons légitimes et ajuster leurs politiques de collecte de données de manière appropriée.

  1. Modifier les demandes de consentement

Le consentement peut parfois être la raison légitime la plus appropriée, il vous faut alors savoir comment l’obtenir dans les règles. Le RGPD liste les exigences particulières liées aux demandes de consentement légitimes.

  1. Se renseigner concernant le consentement des mineurs

Le RGPD indique que les mineurs ne peuvent pas donner leur consentement de manière légitime puisqu’ils « peuvent être moins conscients des risques, des conséquences et des garanties » lorsqu’ils partagent leurs données personnelles.

L’âge limite à partir duquel un individu n’est plus considéré comme mineur est de 16 ans mais le règlement permet aux Etats membres d’ajuster cette limite entre 13 et 16 ans.

Par exemple, le Royaume-Uni, la République d’Irlande et l’Espagne fixeront surement cette limite à 13 ans, l’Autriche optera pour 14 ans alors que l’Allemagne et les Pays-Bas maintiendront cette limite de 16 ans.

Les responsables du traitement doivent bien entendu connaitre la limite d’âge dans chacun des pays concernés et veiller à ne pas demander le consentement d’une personne ayant un âge inférieur à cette limite.

  1. Nommer un délégué à la protection des données

Le RGPD indique que le délégué à la protection des données (DPO) a pour objectif de superviser la stratégie de protection des données ainsi que le programme de conformité de l’entreprise qui l’emploi.

Bien que toutes les entreprises ne soient pas dans l’obligation de nommer un DPO, l’Article 29 du Working Party recommande aux entreprises de le faire afin de suivre les bonnes pratiques.

  1. Se préparer aux violations de données

Un des challenges les plus importants pour les entreprises est l’obligation de signalement de violations de données. Les entreprises doivent signaler les violations de données à leur autorité de contrôle dans les 72 heures suivant leur découverte et fournir autant de détails que possible.

  1. Suivre l’approche de « privacy-by-design»

Les entreprises devraient suivre l’approche de « privacy-by-design » ou « vie privée dès la conception ». Pour cela, elles devront mener une analyse d’impact sur la protection des données (DPIA) avant de lancer de nouveaux projets.

Le DPIA aide les entreprises à voir comment les changements affecteront la vie privée des personnes. Les résultats peuvent être utilisés afin d’anticiper et de minimiser les problèmes en amont.

Obtenir de l’aide afin de vous préparer au RGPD

Si vous souhaitez en savoir plus sur le RGPD, inscrivez-vous à l’une de nos formations.

Selon votre niveau d’expertise, les formations suivantes peuvent vous intéresser :

Formation certifiée d’introduction au Règlement Général Européen sur la Protection des Données (RGPD)

Formation certifiée de spécialisation au Règlement Général Européen sur la Protection des Données (RGPD)

Réservez ces formations ensemble avec notre offre combinée et économisez 15%.

Ou suivez notre formation d’introduction au RGPD en ligne où que vous soyez.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.