RGPD : les premières étapes
Les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données.

Les 6 grands principes du RGPD
Ces 6 grands principes du RGPD peuvent vous être utiles pour sensibiliser votre entourage professionnel à la protection des données personnelles.
- Les données sont collectées pour un but bien déterminé.
- Quel est le but de mon fichier ? (à quoi va-t-il servir ?)
- Est-ce légitime, notamment au regard de mes missions et des droits et libertés des personnes ?
- Comment présenter cette finalité pour la rendre compréhensible par tous ?
- Les individus doivent conserver la maîtrise des données qui les concernent.
- Le RGPD impose une information complète et précise. Les modalités de fourniture et de présentation de cette information doivent être adaptées au contexte. La transparence permet aux personnes concernées :
- de connaître la raison de la collecte des différentes données les concernant ;
- de comprendre le traitement qui sera fait de leurs données ;
- d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.
- Quelles informations prioriser ? (dans tous les cas)
- l’identité du responsable de traitement ;
- les finalités ;
- les droits des personnes.
- Le RGPD impose une information complète et précise. Les modalités de fourniture et de présentation de cette information doivent être adaptées au contexte. La transparence permet aux personnes concernées :
- Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à leurs demandes.
- Mettre en place une organisation chargée de traiter les demandes Informatique et Libertés.
- Contacter le délégué à la protection des données si l’organisme concerné en a désigné un.
- Surveiller les délais de réponses.
- Vous ne pouvez pas conserver les données indéfiniment.
- Jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
- Ai-je des obligations légales de conserver les données pendant un certain temps ?
- Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
- Jusqu’à quand puis-je faire valoir ce recours en justice ?
- Quelles informations doivent être archivées ? Pendant combien de temps ?
- Quelles sont les règles de suppression des données.
- Quelles sont les règles d’archivage des données ?
- Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données.
- Quels pourraient être les impacts sur les personnes concernées en cas :
- d’accès illégitime ?
- de modification non désirée ?
- de disparition ?
- Est-ce grave ?
- Comment chacun de ces scénarios pourrait-il arriver ?
- Est-ce vraisemblable ?
- Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ?
- Quels pourraient être les impacts sur les personnes concernées en cas :
- La conformité n’est pas gravée dans le marbre et figée.
- Inscrivez votre mise en conformité dans une démarche continue
- Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.
Lien utiles
- Fiche pratique « Entamer sa mise en conformité avec les règles de protection des données » (site web cnil.fr)
- Fiche pratique « Limiter la conservation des données » (site web cnil.fr)
- Fiche pratique « Comment concilier les durées de conservation et les archives » (guide « Collectivités territoriales», site web cnil.fr)
- Portail interministériel des Archives de France
- Blog « Droit des archives » (dédié aux questions de droit appliqué aux archives animé par le SIAF).
Références juridiques
- Principe de limitation de la durée de conservation :
- Protection des données dès la conception et par défaut :
- Recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel : délibération n° 2005-213 du 11 octobre 2005
- Recommandation sur la compatibilité entre les lois n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et n° 79-18 du 3 janvier 1979 sur les archives : délibération n°88-52 du 10 mai 1988.
- Code du patrimoine : articles L. 211-1 et suivants