5 conseils pour se mettre en conformité avec le RGPD

Le nouveau règlement européen mise avant tout sur la protection des données collectées des personnes concernées compte tenu des risques. En cas de plaintes ou d’incidents, cela permet à toutes les entreprises de prouver que les mesures ont été respectées lors du traitement des données ! Concrètement comment être en conformité ? Voici ce que la Cnil exige !

La cartographie des traitements de données

Il s’agit de recenser la totalité des données à caractère personnel traitées par l’organisme. Cela permet d’avoir une vision globale du traitement, de leur provenance ainsi que de leur destination.

A lire en complément : Quel capital social pour une SASU ?

Il permet de mesurer le niveau de conformité au règlement général et d’alimenter le registre des activités de traitement des données personnelles. Il faut indiquer :

  • Les finalités du traitement de données à caractère personnel ;
  • Les catégories de données traitées ;
  • Les personnes concernées ;
  • Les destinataires des données sensibles ou personnelles ;
  • Les mesures de sécurité pour la protection des données personnelles.

Mise en conformité rgpd : Evaluer la finalité des traitements de données à caractère personnel

C’est une obligation essentielle pour la mise en conformité rgpd. La finalité d’un traitement en fixe la limite. Ainsi pour une prospection commerciale, les données ne peuvent pas être utilisées par le responsable du traitement afin de recueillir des avis sur le produit ou le service. Si tel est le cas il faut en informer les personnes concernées ou créer un nouveau traitement.

A découvrir également : Comment certifier conforme un document par Soi-même ?

La durée de conservation, dépend aussi entièrement de cette finalité. Il est prohibé par le nouveau règlement de garder des données personnelles plus longtemps si la finalité est déclarée.

Conserver les données pendant une certaine période

Que ce soit la loi informatique et libertés ou le règlement européen, ces deux textes somment de réduire la conservation des données personnelles. On recense 3 sortes d’archivage des données :

L’archivage classique

Il renvoie à l’obligation de conserver les données au regard de la finalité du traitement. C’est une durée pouvant être fixée à la suite d’un contrat entre la personne concernée et le responsable du traitement.

L’archivage intermédiaire

Il renvoie à la situation où les données peuvent être gardées plus longtemps que la durée prévue à la base.

L’archivage définitif

Certaines données ne peuvent pas être détruites. C’est le cas par exemple des informations d’intérêt public comme les statistiques ou les faits scientifiques.

Tenir au courant ses clients et ses collaborateurs

Chaque personne dont les données sont traitées, a le droit d’avoir du responsable des traitements des informations obligatoires, sous respect des droits des personnes :

  • Droit d’accès ;
  • Droit à l’oubli, à l’effacement ou à la rectification ;
  • Droit à la portabilité ou droit au transfert…

Dans une relation de travail, l’employeur est considéré comme un responsable du traitement. Il est tenu de traiter certaines données comme la paye ou les diverses évaluations.

Une obligation de sécurité des données

Il incombe au responsable de traitement d’assurer la sécurité des données personnelles, non seulement pour se conformer au RGPD mais aussi pour se protéger des risques et de la violation des données. C’est une obligation incombant aussi au sous-traitant.

Pour s’en garantir, une autre clause peut être introduite dans le contrat de sous-traitant en indiquant les obligations en termes de sécurité.

La CNIL conseille d’une part de mettre en avant des dispositifs de traçabilité des données et de garantir un mode de conservation selon l’archivage. Dans le cas de l’archivage définitif, il est nécessaire de le mettre dans une base distincte et autonome et d’en autoriser l’accès qu’à un service précis de l’entreprise. Pour l’archivage intermédiaire, le responsable de traitement peut sélectionner le mode qu’il souhaite mais à condition d’avoir pris les mesures nécessaires pour protéger les données.

ARTICLES LIÉS