News
Confidentialité données personnelles entreprise

3 éléments pour documenter efficacement sa conformité au GDPR 2018

Recevoir la newsletter

Dans moins d’un an les entreprises devront être conformes au GDPR et ce, quel que soit leur secteur d’activité ou leur taille. Et intégrer cette nouvelle règlementation requiert un processus qui peut s’avérer long, mais nécessaire. D’autant plus, qu’en cas de manquement des sanctions importantes sont prévues, pouvant aller jusqu’à 4 % du CA mondial. Nous vous proposons ici un récapitulatif des documents et procédures à mettre en oeuvre afin d’être prêt pour le 26 mai 2018.

 

 

1) Documenter sa conformité au RGPD


Afin qu’une entreprise puisse prouver à tout moment auprès de la CNIL sa conformité au nouveau règlement européen, deux nouveaux documents sont indispensables :

Le registre des traitements

La cartographie des traitements de données personnelles consiste à identifier et répertorier tous les traitements au sein de l’entreprise. Cet inventaire, qui se doit d’être exhaustif, est ensuite consigné dans un registre que le responsable de traitement doit tenir régulièrement à jour.  Il s’agit du document de référence incontournable en cas de contrôle de la CNIL.

Les PIA ou analyses d’impact sur la vie privée

Lorsqu’un traitement de données à caractère personnel présente des risques pour la vie privée des personnes, l’entreprise doit mener un PIA (Privacy Impact Assessment). Ce document permet une analyse complète du traitement en question et détermine les solutions les plus efficaces pour garantir le plus haut niveau de protection et de confidentialité des données.

En cas de violation des données, l’entreprise doit se tenir prête à en informer la CNIL et la ou les personne(s) concernées sous 72h maximum.

 

telecharger-checklist-rgpd

 

2) Informer clairement les personnes sur leurs droits


Afin de satisfaire à ses nouvelles obligations de transparence, l’entreprise doit mettre en place un ensemble d’informations et de process pour garantir l’exercice des droits des personnes :

Les mentions d’information

La loi Informatique et Libertés impose aux entreprises d’informer les personnes concernées par un traitement de données, de la nature et la finalité de ce dernier. Le RGPD prévoit de rendre les mentions d’information plus claires et compréhensibles par les utilisateurs. Pour ce faire, elles devront être rédigées dans un langage intelligible et non technique.

Le recueil du consentement

L’entreprise qui met en place un traitement de données personnelles qui nécessitent le consentement des personnes doit prévoir une procédure pour le recueillir. Cela est d’autant plus important que le responsable de traitement doit pouvoir prouver ce consentement à tout moment auprès de la CNIL.

Les procédures d’exercice des droits des personnes

Le responsable des traitement doit mettre en oeuvre des procédures prédéfinies pour garantir à tout instant l’exercice des droits des personnes lorsqu’elles le sollicitent. Par exemple, pour exercer le droit à la portabilité, l’utilisateur doit pouvoir télécharger facilement ses données sur un format facilement exploitable.

 

3) Mettre à jour les clauses de contrats


Eu égard aux nouvelles responsabilités des entreprises et particulièrement de leurs sous-traitants, il est impératif de réviser les clauses de contrats.

En effet, ces derniers voient également leurs responsabilités se renforcer. Ils se doivent de respecter les nouvelles exigences du GDPR dans le cadre des traitements des données personnelles concernant des ressortissants de l’Union Européenne. L’intérêt est notamment de garantir la bonne traçabilité des données qui transitent hors de l’UE.



Afin de prouver leur conformité au GDPR en mai 2018, l’entreprise devra se munir de tous les outils nécessaires. Parmi ceci, plusieurs documents sont à produire et maintenir à jour. Pour éviter toutes sanctions, il est recommandé d’établir des plans d’action et procédures qui faciliteront ce travail. C’est notamment dans cette optique que le recours à un DPO (Data Protection Officer) peut être très profitable.

telecharger-checklist-rgpd