Liste de contrôle RGPD : Êtes-vous prêt ?

Vous n'êtes pas encore conforme ou seulement partiellement au RGPD ? Voici quelques meilleures pratiques pour commencer votre parcours de conformité.

Cet article n’est pas un conseil juridique, et n’est pas destiné à créer ni susciter une relation entre un client et son avocat. Demandez conseil à un professionnel du droit si nécessaire.

La date butoir de mai 2018 pour la conformité au règlement général de protection des données (RGPD) arrive à grands pas, et si vous ne l’avez pas déjà fait, il est temps d’évaluer la situation de votre société en matière de conformité.

Le RGPD exige des sociétés situées dans les pays de l’UE ou récupérant des données depuis ces pays de respecter les nouveaux règlements de protection et de sécurité des données. Ceci s’applique aussi aux multinationales basées en dehors de l’UE si elles visent un public situé en UE.

Nous avons détaillé précédemment comment nous nous préparons au RGPD, mais l’étape suivante est d’aider nos clients et partenaires à s’assurer qu’ils connaissent bien les mesures à prendre pour leur propre conformité au RGPD.

Le RGPD peut profiter à votre entreprise en consolidant les différentes lois de confidentialité des données existantes dans les 28 états membres, y compris le Royaume-Uni.

Si vous n’êtes pas encore conforme ou seulement partiellement, il est encore temps de réagir, de réviser les politiques ou d’investir dans de nouvelles technologies. Voici quelques meilleures pratiques pour commencer votre parcours de conformité :

Désignez un délégué à la protection des données (DPD)

Le RGPD exige la désignation d’un délégué à la protection des données (DPD) chaque fois que :

  • le traitement est effectué par une autorité ou un organisme public, sauf pour les tribunaux dans leur devoir juridique ;
  • les activités essentielles du contrôleur ou du responsable du traitement sont des opérations de traitement, qui du fait de leur nature, de leur portée ou de leur finalité exigent une surveillance régulière et systématique à grande échelle des personnes concernées; ou
  • les activités essentielles du contrôleur ou du responsable du traitement sont le traitement à grande échelle de données sensibles (données révélant des origines raciales ou éthiques, des opinions politiques, des croyances religieuses ou philosophiques, un état de santé ou une orientation sexuelle, etc.) ou des données personnelles associées aux condamnations ou infractions pénales.

Ce rôle doit surveiller et gérer à la fois les données et les opérations nécessaires selon les règlements. De plus, le DPD peut avoir à prouver l’absence de conflit d’intérêt en matière de protection des données pour votre entreprise.

Assurez-vous que votre DPD est prêt à collaborer

Vos salariés sont les mieux placés pour vous aider à comprendre où pourraient se trouver les manques dans les politiques de protection des données actuelles de votre entreprise. Assurez-vous que le DPD, les équipes juridiques, de conformité et informatiques ont une compréhension claire et complète des pratiques de traitement des données de votre entreprise. Ils doivent collaborer pour contribuer à la création d’une procédure conforme de collecte collaborative des données par votre entreprise.

Assurer la transparence et le contrôle

Les informations et la formule de consentement proposées à vos clients doivent être aussi claires et transparentes que possible. Votre site web doit expliciter clairement les options d’adhésion ou de refus choisies, et les types exacts de données qu’ils vous fournissent. C’est un facteur essentiel de conformité au RGPD et vous en saurez plus à ce sujet ici.

Donner la priorité à la gouvernance des données

Vous devez mettre en place une procédure d’évaluation de l’incidence sur la vie privée (EIVP) pour tous les traitements pouvant compromettre les droits des personnes. De plus, votre entreprise doit être en mesure d’expliquer comment les données personnelles qu’elle recueille sont collectées, utilisées, ou même modifiées, et disposer de procédures permettant aux citoyens de l’UE de facilement fournir, réviser ou rejeter les données. Le RGPD affirme qu’il est obligatoire d’assurer que l’infrastructure de données de votre entreprise conserve un registre des activités de traitement et assure la visibilité sur la conformité de vos pratiques.

Surveiller l’accès aux données des salariés et des sous-traitants

Vous devez définir des politiques strictes d’autorisation des salariés limitant l’accès aux données et assurant la confidentialité. Ces politiques doivent être mises à jour en continu en fonction des besoins de l’entreprise et des infractions surveillées, en particulier pour les transferts de données. Selon le Chapitre V du RGPD, les destinations de transfert en dehors de l’UE doivent aussi répondre aux mêmes conditions de protection et de gouvernance que celles situées dans l’UE.

Les exigences du RGPD sont strictes, et il faut pour y être pleinement préparé bien plus que cocher des cases sur une liste. Mais le RGPD tel que nous le voyons ne peut être qu’une bonne chose pour les entreprises comme pour les consommateurs car il offre cohérence et certitude sur la confidentialité et la protection des données.

L’utilisation de cette liste de contrôle et d’autres ressources pour vous assurer de la préparation soigneuse de votre entreprise à chaque règlement du RGPD permettra à votre entreprise de poursuivre ses affaires comme d’habitude en toute confiance.