Si vous n’avez pas accompli les démarches pour la mise en conformité au règlement général sur la protection des données (RGPD), il faut savoir que la période de grâce accordée par la CNIL s’est terminée fin mars 2021. La mise en conformité en question doit donc être une priorité pour les entreprises pour éviter les sanctions. Cet article va vous aider à comprendre les différentes étapes à suivre pour la mise en conformité RGPD.

Recensement des traitements des données

Le RGP impose à votre entreprise d’avoir un responsable de traitement de données. Ce dernier doit avoir une vision globale de l’ensemble des données personnelles collecté et traité au sein de l’organisme privé ou public. Le registre est tenu, en principe, par le délégué à la protection des données ou DPO. Sa mise en place étant prévue par le RGPD. Il va ainsi recenser :

  • les informations concernant le responsable du traitement et le DPO ;
  • la finalité poursuivie pour chaque traitement de données ;
  • les catégories de personnes concernées par la collecte ;
  • les personnes habilitées à avoir droit à l’accès des données et à qui elles seront transférées ;
  • la durée de conservation des données en archive ;
  • les mesures de sécurité ;
  • les transferts de données personnelles en dehors de l’Union européenne.

Pour assurer la mise à jour des données, il faut être en contact permanent avec toutes personnes de la collectivité qui peuvent traiter les données.

Effectuer un tri des données

Avec le registre des fichiers, vous pouvez traiter la pertinence des données et l’objectif poursuivi. En effet, les données doivent nécessairement être liées à vos activités. Vous pouvez, pendant cette étape de tri, va améliorer vos pratiques notamment en minimisant la collecte de données en éliminant les informations inutiles. Le RGPD impose de redéfinir la personne qui pourra accéder aux données dans votre entreprise. Il est également important de définir les modalités d’effacement ou d’archivage automatique.

Le registre doit aussi vous permettre de vérifier la nature des données traitées pour prendre des mesures de sécurité adaptées aux risques spécifiques. De plus, vous devez prendre l’engagement de ne pas conserver les données au-delà de ce qui est nécessaire en fixant précisément cette durée de conservation.

Permettre aux administrés d’exercer leurs droits

Avec le nombre croissant de plaintes au niveau de la CNIL, il est indispensable dans la mise en conformité au RGP de prendre des mesures pour permettre aux administrés d’exercer leurs droits.

Informer les personnes lorsque vous traitez leurs données personnelles

Quand les données personnelles sont recueillies et traitées sur un formulaire ou un téléservice, vous avez l’obligation d’informer les personnes concernées des conditions d’utilisation de leurs données et de leurs droits. L’entreprise doit ainsi fournir des informations concernant :

  • les coordonnées du responsable du traitement ;
  • la finalité de la collecte des données, ce qui vous autorise à faire le traitement ;
  • le consentement des personnes propriétaires des données ;
  • la durée de conservation des données ;
  • l’existence d’un sous-traitant ;
  • le transfert des données dans un pays hors de l’UE ;
  • la protection des données.

A noter qu’il est recommandé de donner ces informations en fin du formulaire en ligne notamment dans la partie politique de confidentialité.

Faciliter l’exercice des droits par les administrés et agents

Les agents, administrés et prestataires, ont des droits sur leurs données personnelles. Le RGPD vous oblige à permettre à ces personnes d’exercer leurs droits :

  • le droit d’accès aux informations que vous détenez sur eux ;
  • le droit de rectification, c’est-à-dire la modification de leurs informations ;
  • le droit de faire opposition sur l’utilisation des informations détenues par votre entreprise ;
  • le droit à la portabilité avec la possibilité de récupérer leurs données sur un format ouvert et lisible par machine ;
  • le droit à la limitation sur leurs informations personnelles.

Il faut savoir que ces droits consacrés par le RGPD ont chacun leurs exceptions et leurs limitations en fonction de la base légale de traitement ou du contexte.

L’obligation de recueillir le consentement RGPD

C’est une obligation prévue par le règlement général sur la protection des données. En effet, ce consentement va autoriser le traitement des données personnelles. Il est défini par le RGPD comme une manifestation de volonté libre et éclairée non équivoque. En d’autres termes, la personne accepte par un acte positif le traitement de ses données. Le RGPD ajoute des garanties complémentaires concernant le consentement comme le droit au retrait, la preuve du consentement apportée par le responsable du traitement. Dans ce cas, la CNIL peut recommander la tenue d’un registre des consentements.

La sécurisation des données

Le risque zéro est impossible dans le domaine informatique, cependant, vous devez prendre les mesures nécessaires pour le limiter. La protection consiste à réduire les risques de perte ou de piratage. Il est donc impératif de prendre des mesures préventives comme la mise à jour des antivirus ou des logiciels de manière périodique. Les failles de sécurité peuvent donc avoir des conséquences sur les personnes propriétaires des données et votre entreprise.

Vous allez aimer

Réaliser un pentest

Faire face à une cyber attaque

Formation cybersécurité