Désigner un pilote et les structures de gouvernances
Désigner un DPO
Référent entreprise sur l’application de règlement
Informer et conseiller les responsables de traitement
Contact de l’autorité de régulation
Comité de sécurité des données :
Étudie les nouveaux traitements
Étudie la documentation
Évalue les mesures existantes
Réévalue des risques et nouvelles mesures à adopter
Cartographier les traitements
Identifier et documenter :
Les différents traitements des données personnelles
Les catégories de données personnelles traitées et l’endroit où elles sont stockées
Les objectifs poursuivis par les opérations de traitement de données
Les acteurs (internes ou externes) qui traitent ces données
Les flux en indiquant l’origine et la destination des données
Les éventuels transferts de données hors de l’Union européenne.
Prioriser les actions
En fonction de la nature des traitements et des données consommées :
S’assurer que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
Réviser les mentions d’information.
Identifier la base juridique sur laquelle se fonde le traitement (consentement de la personne, contrat, obligation légale).
Prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement...).
S’assurer de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
Vérifier les mesures de sécurité mises en place. Identifier les traitements à risques (nature du traitement, nature des données, menaces potentielles, ...)
Gérer les risques
Pour chaque traitement identifié comme risqué, réaliser une étude d’impact (PIA) comprenant :
Les « éléments à protéger »
Les « supports »
Les « sources de risques »
Les « impacts potentiels »
Organiser les processus internes
Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement (privacy by design).
S’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données.
Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits.
Sensibiliser, former les personnels et organiser la remontée d’information.
Anticiper les violations de données en prévoyant, la notification à l’autorité de régulation et aux personnes concernées dans les 72 heures.
Documenter la conformité
Documenter les traitements de données personnelles
Définir les contrats qui définissent les rôles et les responsabilités des acteurs