Mise en conformité CNIL : cas concrets et les bonnes questions à se poser

RGPD : les premières étapes

Les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données.

Les 6 grands principes du RGPD

Ces 6 grands principes du RGPD peuvent vous être utiles pour sensibiliser votre entourage professionnel à la protection des données personnelles.

  1. Les données sont collectées pour un but bien déterminé.
    • Quel est le but de mon fichier ? (à quoi va-t-il servir ?)
    • Est-ce légitime, notamment au regard de mes missions et des droits et libertés des personnes ?
    • Comment présenter cette finalité pour la rendre compréhensible par tous ?
  2. Les individus doivent conserver la maîtrise des données qui les concernent.
    • Le RGPD impose une information complète et précise. Les modalités de fourniture et de présentation de cette information doivent être adaptées au contexte. La transparence permet aux personnes concernées :
      • de connaître la raison de la collecte des différentes données les concernant ;
      • de comprendre le traitement qui sera fait de leurs données ;
      • d’assurer la maîtrise de leurs données, en facilitant l’exercice de leurs droits.
    • Quelles informations prioriser ? (dans tous les cas)
      • l’identité du responsable de traitement ;
      • les finalités ;
      • les droits des personnes.
  3. Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à leurs demandes.
    • Mettre en place une organisation chargée de traiter les demandes Informatique et Libertés.
    • Contacter le délégué à la protection des données si l’organisme concerné en a désigné un.
    • Surveiller les délais de réponses.
  4. Vous ne pouvez pas conserver les données indéfiniment.
    • Jusqu’à quand ai-je vraiment besoin des données pour atteindre l’objectif fixé ?
    • Ai-je des obligations légales de conserver les données pendant un certain temps ?
    • Dois-je conserver certaines données en vue de me protéger contre un éventuel contentieux ? Lesquelles ?
    • Jusqu’à quand puis-je faire valoir ce recours en justice ?
    • Quelles informations doivent être archivées ? Pendant combien de temps ?
    • Quelles sont les règles de suppression des données.
    • Quelles sont les règles d’archivage des données ?
  5. Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données.
    • Quels pourraient être les impacts sur les personnes concernées en cas :
      • d’accès illégitime ?
      • de modification non désirée ?
      • de disparition ?
    • Est-ce grave ?
    • Comment chacun de ces scénarios pourrait-il arriver ?
    • Est-ce vraisemblable ?
    • Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ?
  6. La conformité n’est pas gravée dans le marbre et figée.
    • Inscrivez votre mise en conformité dans une démarche continue
    • Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.

Lien utiles

Références juridiques

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.