droit.co : données personnelles

FB Juris Avocats

Guide de conformité au RGPD

 

Comment être conforme au RGPD ? Référentiel synthétique pour traiter les données personnelles conformément au RGPD.

 

 

Désigner un délégué à la protection des données (« data protection officer - DPO »)

Suivez le guide - Articles 37 à 39 du RGPD

 

  • Une personne compétente et indépendante dans ses fonctions de DPD, employée ou prestataire.
  • Désignation obligatoire.
  • Désignation facultative.
  • Conseil : à tout le moins, désigner en interne un référent.

 

 

S’informer, se former et former les collaborateurs

Une personne avertie en vaut deux

 

  • Connaître les règles.
  • Comprendre les enjeux.
  • Savoir identifier un traitement de données personnelles.
  • Définir une politique interne, des procédures de conformité.
  • Assurer une veille (lignes directrices des autorités de contrôle, décisions de la commission européenne, décisions jurisprudentielles, loi française en discussion).

 

 

Auditer ses traitements de données personnelles

Connais-toi toi-même

 

  • Identification des traitements de données personnelles.
  • Cartographie : qui effectue des traitements dans l’organisation, quelles sont les données traitées, quelles sont les finalités des traitements, quelles sont les données (quelle est la nature des données), quel est le format des données, qui a accès aux données, où sont les données, comment sont-elles sécurisées, pendant combien de temps sont-elles conservées ?
  • Classification des traitements de données personnelles, notamment en fonction de la sensibilité des données personnelles.
  • Vérification de la conformité au RGPD.
  • Définition des mesures de mise en conformité, le cas échéant.
  • Contrôle, suivi de l’exécution des mesures définies.

 

 

Tenir le registre des activités de traitement

Article 30 du RGPD

 

  • Tenue obligatoire.
  • Tenue facultative.
  • Contenu du registre.
  • Conseil n° 1 : identifier systématiquement tous les traitements de données personnelles de l’organisation et les répertorier dans le registre, même en cas de dispense.
  • Conseil n° 2 : au-delà des obligations réglementaires, utiliser le registre comme un outil de conformité.

 

 

Concevoir des traitements de données personnelles conformes au RGPD

Articles 5 à 12, 15 à 18, 20 à 22, 25 du RGPD

 

  • Finalités
  • Utilisation effective
  • Minimisation
  • Pseudonymisation
  • Durée de conservation des données
  • Format des données (interopérabilité)
  • Localisation des données

 

 

Effectuer une analyse d’impact préalable et le cas échéant consulter l’autorité de contrôle

Articles 35, 36 du RGPD

 

  • Analyse d’impact préalable obligatoire lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
  • Consultation préalable de l’autorité de contrôle (la CNIL) obligatoire lorsqu’une analyse d'impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
  • L'autorité de contrôle (la CNIL) doit établir et publier une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.
  • L'autorité de contrôle (la CNIL) peut établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise.

 

 

Informer les personnes concernées, obtenir leur consentement et conserver la preuve

Articles 7, 13, 14 du RGPD

 

Lorsque le consentement des personnes concernées est requis :

  • rédiger des mentions d’information conformes,
  • afficher clairement les mentions d’information lors de la collecte des données ou dans les délais fixés par l’article 14 3. du RGPD si les données n’ont pas été collectées auprès de la personne concernée,
  • si les données sont acquises auprès d’un tiers, s’assurer que les données ont été collectées conformément au RGPD et si possible demander une garantie,
  • conserver la preuve du consentement.

 

 

Sécuriser les données personnelles traitées par l’organisation, à tous les stades du processus

Articles 25, 32 du RGPD

 

  • Protection physique et logique (sécurité des locaux, sécurité du système informatique, cryptage des données).
  • Identification et limitation des personnes ayant accès aux données (restrictions, droits d’accès).
  • Clauses contractuelles en interne (clauses dans les contrats de travail, avenants aux contrats de travail, règles d’entreprise) et avec les sous-traitants, fournisseurs, cocontractants.
  • Maîtrise des données hébergées sur des serveurs de tiers, dans le « nuage » (iCloud, Dropbox, Google, Microsoft 365, Wetransfer, Ciel données mobiles, solutions en mode sas…).

 

 

Gérer les relations contractuelles avec les tiers

Articles 26, 28 du RGPD

 

  • Sous-traitants
  • Co-responsables de traitements (exemple solutions SAS)
  • Cocontractants
  • Clauses contractuelles

 

 

Contrôler les traitements de données personnelles mis en œuvre

Articles 25, 32, 33, 34 du RGPD

 

  • Respect des procédures
  • Respect des finalités
  • Respect de la durée de conservation
  • Contrôle de la sécurité
  • Détection rapide de toute éventuelle faille de sécurité
  • Signalement à l’autorité de contrôle d’une éventuelle atteinte à la sécurité des données
  • Information des personnes concernées en cas d’atteinte à la sécurité de leurs données

 

 

© FB Juris - tous droits réservés          Conditions d'utilisation          Mentions légales          Traceurs