Lisez notre checklist pour vous assurer d’être conforme au Règlement général sur la protection des données.
Puisque chaque entreprise est différente et que le RGPD adopte une approche de la protection des données basée sur les risques, les entreprises doivent évaluer leurs propres pratiques de collecte et de stockage de données (y compris leur utilisation des outils marketing et commerciaux) pour voir si leurs pratiques commerciales sont conformes au règlement européen bientôt en vigueur.
Pour vous aider, voici quelques-unes des questions que vous devriez considérer et vous poser afin de vous assurer d’être en conformité.
L’évaluation
- Quelles données personnelles recueillons-nous / stockons-nous?
- Les avons-nous obtenues équitablement ?
- Avons-nous les consentements nécessaires requis et les personnes concernées sont-elles informées du but spécifique pour lequel nous utiliserons leurs données ?
- Avons-nous été clairs et sans équivoque à cet égard et sont-ils informés de leur droit de retirer leur consentement à tout moment ?
- Veillons-nous à ne pas le garder plus longtemps que nécessaire et à le tenir à jour ces donneés ?
- Sommes-nous en sureté en utilisant un niveau de sécurité approprié au risque ? Par exemple, le cryptage ou la pseudonymisation seront-ils nécessaires pour protéger les données personnelles que nous détenons ?
- Recueillons-nous ou traitons-nous des catégories particulières de données personnelles, telles que «Données personnelles sensibles», données enfants, données biométriques ou génétiques, etc. Si oui, répondons-nous aux normes de collecte, de traitement et de stockage ?
- Transférons-nous les données personnelles en dehors de l’UE et si oui, avons-nous des protections adéquates en place ?
Le plan de projet RGPD
- Avons-nous mis en place un plan de projet pour assurer la conformité avant la date limite de mai 2018 ?
- Avons-nous obtenu l’adhésion au niveau de la direction pour nous assurer que nous avons les ressources et le budget requis pour faire avancer le projet ?
- Avons-nous besoin d’une évaluation des facteurs relatifs à la vie privée ?
- Avons-nous besoin d’embaucher un responsable de la protection des données ?
- Est-ce que nous mettons en œuvre une politique de «protection des données par conception et par défaut» pour nous assurer que nous examinons systématiquement l’impact potentiel qu’un projet ou une initiative pourrait avoir sur la vie privée des individus ?
- Avons-nous examiné la façon dont nous traitons les données sur les employés dans notre plan ?
Les procédures et les contrôles
- Notre équipe de sécurité est-elle informée pour s’assurer qu’elle est au courant de ses obligations en vertu du RGPD et dispose-t-elle de ressources suffisantes pour mettre en œuvre les changements ou les nouveaux processus requis ?
- Avons-nous mis en place des procédures pour traiter les demandes des personnes concernées visant à modifier, supprimer ou accéder à leurs données personnelles ? Ces procédures sont-elles conformes aux nouvelles règles du RGPD ?
- Avons-nous mis en place des procédures de notification de sécurité pour nous assurer que nous respectons nos obligations de reporting améliorées dans le cadre du RGPD en cas de violation de données en temps opportun ?
- Notre personnel est-il formé dans tous les domaines de la protection des données de l’UE pour garantir le traitement conforme des données ?
- Est-ce que nous examinons et vérifions les données que nous détenons régulièrement ?
La documentation
- Avons-nous une politique de confidentialité en place et si oui, devons-nous la mettre à jour pour se conformer au RGPD ?
- Avons-nous une politique définie sur les périodes de conservation pour toutes les données personnelles, depuis les données client, prospect et fournisseur jusqu’aux données des employés ? Est-ce compatible avec le RGPD ?
- Nos procédures internes sont-elles correctement documentées ?
- Si nous sommes un processeur de données, avons-nous mis à jour nos contrats avec les contrôleurs concernés pour s’assurer qu’ils comprennent les dispositions obligatoires énoncées à l’art. 28 du RGPD ?
- Dans les cas où nos fournisseurs tiers traitent des données personnelles en notre nom, avons-nous veillé à ce que nos contrats avec eux soient mis à jour pour inclure les mêmes exigences de traitement en vertu du RGPD ?
Cela fait beaucoup de question à se poser, pensez-vous certainement. Pour autant, il y tant à connaitre sur Règlement général sur la protection des données ou RGPD et sa mise en place demande aujourd’hui beaucoup d’implication aux entreprises présentes sur le net. Pas le temps de chômer avec le droit de l’internet; le RGPD entre en vigueur le 25 mai 2018 !