L’application du RGPD[1] peut être très simple ou très compliquée en fonction de la quantité et du type de données à caractère personnel traitées.

Cette page recense les principaux points à prendre en compte pour se mettre en conformité avec le RGPD. Chaque point explique une partie de la réglementation pour faciliter son application.

Même si tout cela peut paraître complexe et chronophage, l’objectif du RGPD est noble et sa philosophie se résume à :

  • Traiter le moins possible de données à caractère personnel ;
  • Conserver les données le moins longtemps possible ;
  • Stocker les données de façon sécurisée ;
  • Être le plus transparent possible sur le traitement effectué.

Il est donc important pour tout le monde que le RGPD soit respecté, pas seulement pour se mettre à l’abri de sanctions, mais aussi pour respecter les êtres humains. Nous souhaitons tous que nos données personnelles et notre vie privée soient respectées.

Check-list

En lien avec le Délégué à la Protection des Données (DPD)

Si un DPD doit être nommé, soit par obligation, soit volontairement :

  • Choisir un DPD avec une expertise et des compétences adaptées.
  • Demander au DPD d’informer et de conseiller le responsable et ses employés.
  • Permettre au DPD de contrôler les traitements des données.
  • Associer le DPD aux questions relatives à la protection des données.
  • Impliquer le DPD lors de la réalisation d’analyses d’impact.
  • Impliquer le DPD lors de la réalisation de nouveaux traitements de données.
  • Allouer des ressources et une certaine autonomie au DPD pour lui permettre de réaliser ses missions.
  • Veiller que les missions du DPD n’entrainent pas de conflits d’intérêt.
  • Publier les coordonnées du DPD.
  • Communiquer les coordonnées du DPD auprès de l’autorité, la CNIL pour la France.

En lien avec le traitement de données

  • Réaliser une liste exhaustives des traitements qui manipulent des données à caractère personnel
  • Réaliser une liste exhaustive des données à caractère personnel traitées pour chaque traitement
  • Réaliser, lorsque c’est nécessaire, un registre des activités.
  • Réaliser, lorsque c’est nécessaire, une analyse d’impact.
  • Supprimer les données à caractère personnel qui sont collectées mais pas traitées, et celles dont le traitement n’est pas nécessaire.
  • Supprimer les données qui ont été collectées sans le consentement des personnes, alors que la base légale l’imposait.

En lien avec l’information des personnes

En lien avec l’utilisation de prises de décision automatisées

Dans le cas d’un traitement intégrant une prise de décision automatisée ou un profilage des personnes :

  • Mettre en place un processus pour permettre aux personnes d’obtenir une intervention humaine, de partager leur point de vue et de contester les décisions automatisées.

En lien avec l’exercice des droits des utilisateurs

En lien avec la communication

En lien avec la sécurité des appareils

  • Chiffrer les disques des ordinateurs qui contiennent des données personnelles.

En lien avec la sécurité des comptes

En lien avec la sécurité des comptes

  • Enregistrer les activités (logs) du serveur où se trouve les données.

En lien avec l’utilisation de cookies et traceurs

Note : Cette liste est une ébauche mais n’est pas exhaustive.

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).