Désigner un pilote et les structures de gouvernances

Désigner un DPO
  • Référent entreprise sur l’application de règlement
  • Informer et conseiller les responsables de traitement
  • Contact de l’autorité de régulation
Comité de sécurité des données :
  • Étudie les nouveaux traitements
  • Étudie la documentation
  • Évalue les mesures existantes
  • Réévalue des risques et nouvelles mesures à adopter

Cartographier les traitements

Identifier et documenter :
  • Les différents traitements des données personnelles
  • Les catégories de données personnelles traitées et l’endroit où elles sont stockées
  • Les objectifs poursuivis par les opérations de traitement de données
  • Les acteurs (internes ou externes) qui traitent ces données
  • Les flux en indiquant l’origine et la destination des données
  • Les éventuels transferts de données hors de l’Union européenne.

Prioriser les actions

En fonction de la nature des traitements et des données consommées :
  • S’assurer que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
  • Réviser les mentions d’information.
  • Identifier la base juridique sur laquelle se fonde le traitement (consentement de la personne, contrat, obligation légale).
  • Prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement...).
  • S’assurer de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Vérifier les mesures de sécurité mises en place. Identifier les traitements à risques (nature du traitement, nature des données, menaces potentielles, ...)

Gérer les risques

Pour chaque traitement identifié comme risqué, réaliser une étude d’impact (PIA) comprenant :
  • Les « éléments à protéger »
  • Les « supports »
  • Les « sources de risques »
  • Les « impacts potentiels »

Organiser les processus internes

  • Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement (privacy by design).
  • S’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données.
  • Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits.
  • Sensibiliser, former les personnels et organiser la remontée d’information.
  • Anticiper les violations de données en prévoyant, la notification à l’autorité de régulation et aux personnes concernées dans les 72 heures.

Documenter la conformité

  • Documenter les traitements de données personnelles
  • Documenter l’information des personnes
  • Documenter les contrats qui définissent les rôles et les responsabilités des acteurs
  • Documenter les mesures de sécurité mises en œuvre