Comment se mettre en conformité avec le RGPD ?
L’application du RGPD peut être très simple ou très compliquée en fonction de la quantité et du type de données à caractère personnel traitées.
Cette page recense les principaux points à prendre en compte pour se mettre en conformité avec le RGPD. Chaque point explique une partie de la réglementation pour faciliter son application.
Même si tout cela peut paraître complexe et chronophage, l’objectif du RGPD est noble et sa philosophie se résume à :
- Traiter le moins possible de données à caractère personnel ;
- Conserver les données le moins longtemps possible ;
- Stocker les données de façon sécurisée ;
- Être le plus transparent possible sur le traitement effectué.
Il est donc important pour tout le monde que le RGPD soit respecté, pas seulement pour se mettre à l’abri de sanctions, mais aussi pour respecter les êtres humains. Nous souhaitons tous que nos données personnelles et notre vie privée soient respectées.
Check-list
En lien avec le Délégué à la Protection des Données (DPD)
- Considérer la nécessité de nommer Délégué à la Protection des Données.
Si un DPD doit être nommé, soit par obligation, soit volontairement :
- Choisir un DPD avec une expertise et des compétences adaptées.
- Demander au DPD d’informer et de conseiller le responsable et ses employés.
- Permettre au DPD de contrôler les traitements des données.
- Associer le DPD aux questions relatives à la protection des données.
- Impliquer le DPD lors de la réalisation d’analyses d’impact.
- Impliquer le DPD lors de la réalisation de nouveaux traitements de données.
- Allouer des ressources et une certaine autonomie au DPD pour lui permettre de réaliser ses missions.
- Veiller que les missions du DPD n’entrainent pas de conflits d’intérêt.
- Publier les coordonnées du DPD.
- Communiquer les coordonnées du DPD auprès de l’autorité, la CNIL pour la France.
En lien avec le traitement de données
- Réaliser une liste exhaustives des traitements qui manipulent des données à caractère personnel
- Réaliser une liste exhaustive des données à caractère personnel traitées pour chaque traitement
- Réaliser, lorsque c’est nécessaire, un registre des activités.
- Réaliser, lorsque c’est nécessaire, une analyse d’impact.
- Supprimer les données à caractère personnel qui sont collectées mais pas traitées, et celles dont le traitement n’est pas nécessaire.
- Supprimer les données qui ont été collectées sans le consentement des personnes, alors que la base légale l’imposait.
En lien avec l’information des personnes
- Rédiger la « politique de protection des données personnelles ».
- Publier la politique, ajouter un lien vers cette politique sur chaque page et à chaque endroit où données sont collectées.
En lien avec l’utilisation de prises de décision automatisées
Dans le cas d’un traitement intégrant une prise de décision automatisée ou un profilage des personnes :
- Mettre en place un processus pour permettre aux personnes d’obtenir une intervention humaine, de partager leur point de vue et de contester les décisions automatisées.
En lien avec l’exercice des droits des utilisateurs
- Traiter et répondre aux demandes des utilisateurs sous un délai d’un mois.
- Voir « Combien de temps a une entreprise pour répondre aux demandes d’exercice de droits RGPD ? »
- Voir « Peut-on demander un justificatif d’identité en réponse à une demande d’exercice de droits RGPD ? »
- Voir « Peut-on refuser une demande d’exercice de droits RGPD d’une personne ? »
- Voir « Doit-on payer pour exercer ses droits relatifs au RGPD ? »
En lien avec la communication
- Inclure les informations obligatoires dans les e-mails promotionnels.
- Envoyer des e-mails promotionnels uniquement aux personnes qui ont donné leur consentement.
- Envoyer des e-mails séparés à chaque destinataire ou utilisez la fonctionnalité copie cachée.
En lien avec la sécurité des appareils
- Chiffrer les disques des ordinateurs qui contiennent des données personnelles.
En lien avec la sécurité des comptes
- Créer un compte personnel pour chaque utilisateur ayant accès aux applications traitant des données personnelles.
- Limiter les droits d’accès des comptes des utilisateurs.
- Sécuriser l’authentification des utilisateurs et des salariés.
- Sécuriser la conservation des mots de passe.
- Voir « Quels sont les risques à stocker les mots de passe de ses utilisateurs en clair ? »
- Voir « Peut-on utiliser la fonction de hachage MD5 pour enregistrer l’empreinte des mots de passe de ses utilisateurs ? »
- Voir « Peut-on utiliser la fonction de hachage SHA-1 pour enregistrer l’empreinte des mots de passe de ses utilisateurs ? »
En lien avec la sécurité des serveurs
- Enregistrer les activités (logs) du serveur où se trouve les données.
En lien avec la sécurité des applications
- Installer les mises à jour de sécurité
En lien avec l’utilisation de cookies et traceurs
- Informer et obtenir le consentement des visiteurs.
Note : Cette liste est une ébauche mais n’est pas exhaustive.
Voir les sigles et acronymes
- ↑RGPD : Règlement Général sur la Protection des Données