RGPD : checklist pour piloter sa mise en conformité

Respecter le RGPD ne doit pas être une fatalité. Pour simplifier sa mise en place, voici une liste de points à vérifier au sein de votre établissement. Chaque point intègre une explication et des ressources complémentaires (guides pratiques, livres blancs, documents modèles, etc.) pour vous guider.

Toutes les organisations sont concernées par le Règlement Général sur la Protection des Données (dit aussi “GDPR” en anglais), applicable en France dès le 25 mai 2018. La liste ci-dessous est un outil gratuit d’aide à la décision qui vous accompagnera dans l'identification des secteurs concernés par cette loi au sein de votre structure. Il vous aidera à comprendre pourquoi le RGPD est important, quel est le rôle de la CNIL dans son application et quelles questions se poser pour bien démarrer vos procédures de mise en conformité. Il ne s'agit en aucun cas d'un questionnaire exhaustif sur les mesures à prendre car le RGPD et ses principes introduisent des notions qui auront des impacts différents selon les organisations (en fonction de votre secteur d'activité par exemple). Par conséquent, cette liste ne peut pas constituer un document juridique en cas de contrôle.

Pour information, les réponses que vous apporterez à cette checklist ne sont ni enregistrées ni transmises à l'agence Ouest Digital.

Pour commencer votre audit et utiliser cet outil, commencez par identifier le rôle de votre structure :

  • Responsable de traitement : vous déterminez pourquoi et comment sont gérées des données personnelles (collecte, stockage, etc.), seul ou conjointement avec d’autres. Exemple : un magasin qui propose de créer un compte fidélité à ses clients pour des raisons marketing ;
  • Sous-traitant : vous traitez des données personnelles pour le compte d'une autre organisation. Exemple : une agence de stratégie digitale qui réalise des campagnes d’emailing pour le compte d’un client ;
  • A noter : il est possible que votre organisation ait les deux rôles Il est pratiquement impossible que vous n’ayez aucun rôle :-)

En fonction de votre choix, la liste des points à contrôler se mettra à jour automatiquement.

Sélectionnez le rôle de votre structure :

  • Responsable de traitement (data controller)

  • Sous-traitant (data processor)

Données personnelles stockées

  • Votre structure dispose d'une registre qui répertorie l'ensemble des types de données personnelles détenues, leur provenance, les partages éventuels (interne et/ou externe), ce que vous en faite et la durée de conservation.

    • Sous-traitant
    • Responsable de traitement
  • Votre organisation dispose d'une liste des endroits où sont stockées les données personnelles et la manière dont les données sont interconnectées entre elles.

    • Sous-traitant
    • Responsable de traitement
  • Votre établissement dispose d'une politique de confidentialité accessible qui décrit l'ensemble des processus de traitement concernant les données personnelles.

    • Sous-traitant
    • Responsable de traitement
  • Votre politique de confidentialité constitue une base juridique spécifiant les raisons qui font que votre orgnisation doit traiter les données personnelles.

    • Responsable de traitement

Votre responsabilité & management

Nouveaux droits

  • Vos clients peuvent facilement demander à avoir accès aux données personnelles que vous détenez sur eux.

    • Sous-traitant
    • Responsable de traitement
  • Vos clients peuvent facilement mettre-à-jour les données personnelles que vous détenez sur eux.

    • Sous-traitant
    • Responsable de traitement
  • Votre établissement supprime automatiquement les données personnelles dont il n’a plus besoin.

    • Sous-traitant
    • Responsable de traitement
  • Vos clients peuvent facilement demander la suppression des données personnelles que vous détenez sur eux.

    • Sous-traitant
    • Responsable de traitement
  • Vos clients peuvent demander facilement l'arrêt du traitement des données personnelles que vous détenez sur eux.

    • Sous-traitant
    • Responsable de traitement
  • Vos clients peuvent facilement demander la portabilité de leurs données personnelles.

    • Sous-traitant
    • Responsable de traitement
  • Vos clients peuvent facilement s'opposer au profilage ou à la prise de décision automatisée qui pourrait les affecter.

    • Responsable de traitement

Suivi des évolutions

Cas spéciaux

Avertissement

Les informations présentes sur cette checklist ne sont pas équivalentes à des conseils juridiques, puisqu’elles ne prennent pas en compte vos besoins spécifiques. Consultez une société spécialisée si vous souhaitez obtenir des conseils sur votre interprétation du règlement européen des données personnelles. En un mot, vous ne pouvez pas considérer que cette checklist fait office de conseil juridique. Elle vise uniquement à simplifier votre compréhension du sujet et à identifier les points à traiter dans les plus brefs délais.

Si vous avez des questions sur la mise en place de la conformité au RGPD au sein de votre organisme, notre agence peut vous accompagner dans vos démarches. Prenez contact avec nous à l'adresse suivante : rgpd@ouest.digital