News
Confidentialité Vie privée données personnelles

6 points à analyser pour garantir la protection des données personnelles

Recevoir la newsletter

Votre entreprise a cartographié ses traitements de données et tient son registre ? Dans ce cas, vous êtes prêt à identifier les actions prioritaires à mener pour être conforme au RGPD. C’est un exercice important qui permet à la fois de poser un cadre légal, d’assurer une bonne gouvernance des données et un gage de confiance. Découvrez la méthodologie en 6 points clés.

Identifier les actions à mener pour la protection des données


Nous avons abordé dans un précédent article la méthodologie pour cartographier les traitements de données à caractère personnel. À présent que l’entreprise tient son registre des traitements, elle peut plus facilement déterminer les actions à prioriser. Nous vous proposons 6 points essentiels sur lesquels concentrer votre attention :

1. Ne collecter que les données utiles au business

Ceci était déjà une obligation liée au respect de la Loi Informatique et Libertés et perdure avec l’arrivée du RGPD. Ainsi, l’entreprise doit garantir qu’elle ne récolte que les données qui servent réellement l’objectif final du traitement (principe de la minimisation des données). Néanmoins, cela n’est pas pour autant une contrainte mais bien un avantage. En effet, plus les données sont ciblées et mieux l’entreprise pourra les exploiter à son avantage.

2. Déterminer le cadre juridique du traitement de données

Chaque traitement de données fait l’objet d’un cadre juridique particulier. Il s’agit ici de déterminer si ce dernier relève, par exemple, d’un consentement de l’utilisateur, d’un intérêt légitime pour l’entreprise, d’un contrat ou encore d’obligations légales. C’est un point crucial qui conditionne les limites ou non de l’utilisation des données par l’entreprise. Il sera notamment nécessaire de prendre en compte les données personnelles des mineurs dont la protection se voit renforcée. En effet, l’accord du tuteur légal devient obligatoire.

telecharger-checklist-rgpd

3. Mettre à jour les mentions d'information

Elle permettent d’informer la personne de l’identité du responsable de traitement, de la finalité des traitements de données personnelles. Elles posent un cadre rassurant pour les utilisateurs et contribuent à une relation de confiance. Pour être conforme au RGPD, ces dernières doivent être mises à jour selon les nouvelles obligations. Parmi les informations à communiquer obligatoirement se trouvent l’identité du responsable de traitement, l’objectif du traitement, les droits relatifs (rectification, par exemple), si un transfert hors de l’UE existe, etc.

Vous pouvez retrouver tous ces éléments dans les articles 12, 13 et 14 du règlement européen sur la protection des données personnelles.

4. Faire le point sur les nouvelles obligations avec les sous-traitants

Avec la mise en application du GDPR, les sous-traitants sont davantage responsabilisés. L’entreprise devra donc s’assurer de la mise en place de clauses contractuelles garantissant la confidentialité et la protection des données. Cela sera d’autant plus nécessaire en cas de transfert hors de l’Union Européen pour permettre une bonne traçabilité des données traitées.

5. Faciliter l’exercice des droits des personnes

Les entreprises ont de nouvelles obligations et les utilisateurs de nouveaux droits qui viennent se greffer à ceux déjà existants (droit de rectification, droit d’accès, de retrait du consentement). Le droit à la portabilité fait parti des nouveaux droits avec l’arrivée du RGPD.


Il implique que la personne ayant donné son consentement puisse disposer à tout moment des données personnelles qu’elle a fournies à l’entreprise. La CNIL recommande donc d’offrir la possibilité à l’utilisateur de télécharger ses données et de ne pas en bloquer l’accès à un responsable tiers autorisé par la personne à en disposer. Étant donné la variété des données traitées, la CNIL n’oblige aucun format particulier.

6. Garantir un niveau de sécurité maximum pour les données

Pour cela, chaque traitement doit être analysé en mesurant les risques potentiels qu’ils représentent pour la vie privée des personnes. Certains d’entre eux ne nécessiteront aucun changement, mais pour d’autres il sera nécessaire de mener un PIA (Privacy Impact Assessment) quand une menace réelle sera identifiée. Nous décrirons plus en détail la méthode dans un prochain article.



En suivant cette méthodologie en 6 points, l’entreprise s’assurera d’être conforme au nouveau règlement. Avec le développement de la data et du numérique la protection des données personnelles n’est pas qu’un ensemble de contraintes, elle est aussi une opportunité stratégique à saisir.

telecharger-checklist-rgpd