Comment se mettre en conformité avec le RGPD ?

L’application du RGPD peut être très simple ou très compliquée en fonction de la quantité et du type de données à caractère personnel traitées.

Cette page recense les principaux points à prendre en compte pour se mettre en conformité avec le RGPD. Chaque point explique une partie de la réglementation pour faciliter son application.

Même si tout cela peut paraître complexe et chronophage, l’objectif du RGPD est noble et sa philosophie se résume à :

Traiter le moins possible de données à caractère personnel ;
Conserver les données le moins longtemps possible ;
Stocker les données de façon sécurisée ;
Être le plus transparent possible sur le traitement effectué.

Il est donc important pour tout le monde que le RGPD soit respecté, pas seulement pour se mettre à l’abri de sanctions, mais aussi pour respecter les êtres humains. Nous souhaitons tous que nos données personnelles et notre vie privée soient respectées.

Check-list

En lien avec le Délégué à la Protection des Données (DPD)

Considérer la nécessité de nommer Délégué à la Protection des Données.
- Voir « Qu’est ce qu’un Délégué à la Protection des Données et quelles sont ses missions ? »
- Voir « Faut-il obligatoirement nommer un Délégué à la Protection des Données ? »

Si un DPD doit être nommé, soit par obligation, soit volontairement :

Choisir un DPD avec une expertise et des compétences adaptées.
Demander au DPD d’informer et de conseiller le responsable et ses employés.
Permettre au DPD de contrôler les traitements des données.
Associer le DPD aux questions relatives à la protection des données.
Impliquer le DPD lors de la réalisation d’analyses d’impact.
Impliquer le DPD lors de la réalisation de nouveaux traitements de données.
Allouer des ressources et une certaine autonomie au DPD pour lui permettre de réaliser ses missions.
Veiller que les missions du DPD n’entrainent pas de conflits d’intérêt.
Publier les coordonnées du DPD.
Communiquer les coordonnées du DPD auprès de l’autorité, la CNIL pour la France.

En lien avec le traitement de données

Réaliser une liste exhaustives des traitements qui manipulent des données à caractère personnel
Réaliser une liste exhaustive des données à caractère personnel traitées pour chaque traitement
- Voir « Comment savoir si une donnée est à caractère personnel ? »
Réaliser, lorsque c’est nécessaire, un registre des activités.
Réaliser, lorsque c’est nécessaire, une analyse d’impact.
- Voir « Faut-il réaliser une analyse d’impact avant de traiter des données personnelles ? »
Supprimer les données à caractère personnel qui sont collectées mais pas traitées, et celles dont le traitement n’est pas nécessaire.
Supprimer les données qui ont été collectées sans le consentement des personnes, alors que la base légale l’imposait.

En lien avec l’information des personnes

Rédiger la « politique de protection des données personnelles ».
- Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? »
Publier la politique, ajouter un lien vers cette politique sur chaque page et à chaque endroit où données sont collectées.
- Voir « Comment fournir les informations relatives à un traitement de données à caractère personnel ? »

En lien avec l’utilisation de prises de décision automatisées

Dans le cas d’un traitement intégrant une prise de décision automatisée ou un profilage des personnes :

Mettre en place un processus pour permettre aux personnes d’obtenir une intervention humaine, de partager leur point de vue et de contester les décisions automatisées.

En lien avec l’exercice des droits des utilisateurs

Traiter et répondre aux demandes des utilisateurs sous un délai d’un mois.

En lien avec la communication

Inclure les informations obligatoires dans les e-mails promotionnels.
- Voir « Quelles informations doivent obligatoirement figurer dans les e-mails promotionnels ? »
Envoyer des e-mails promotionnels uniquement aux personnes qui ont donné leur consentement.
- Voir « Doit-on demander le consentement des personnes avant de leur envoyer des e-mails promotionnels ? »
Envoyer des e-mails séparés à chaque destinataire ou utilisez la fonctionnalité copie cachée.
- Voir « La société ELECTRIC RENTING GROUP sanctionnée pour avoir divulgué les adresses e-mails de prospects »

En lien avec la sécurité des appareils

Chiffrer les disques des ordinateurs qui contiennent des données personnelles.

En lien avec la sécurité des comptes

Créer un compte personnel pour chaque utilisateur ayant accès aux applications traitant des données personnelles.
- Voir « Quels sont les risques à partager l’accès d’un compte ? »
Limiter les droits d’accès des comptes des utilisateurs.
- Voir « Quels sont les risques à ne pas restreindre les droits d’accès d’un compte ? »
Sécuriser l’authentification des utilisateurs et des salariés.
- Voir « Quelles restrictions imposer aux mots de passe de ses utilisateurs ? »
Sécuriser la conservation des mots de passe.

En lien avec la sécurité des serveurs

Enregistrer les activités (logs) du serveur où se trouve les données.

En lien avec la sécurité des applications

Installer les mises à jour de sécurité

En lien avec l’utilisation de cookies et traceurs

Informer et obtenir le consentement des visiteurs.
- Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? »
- Voir « Comment demander le consentement des visiteurs lorsque des cookies sont utilisés ? »

Note : Cette liste est une ébauche mais n’est pas exhaustive.

Sigles et acronymes

↑RGPD : Règlement Général sur la Protection des Données