6 étapes clés pour garantir la conformité au RGPD – les étapes à suivre immédiatement

Conformité au RGPD


Tout le monde ne peut pas être un spécialiste de la conformité au RGPD, mais cela ne signifie pas que vous devez ignorer la protection des données et la confidentialité; surtout si vous dirigez une entreprise. Même si beaucoup de discussions ont été faites sur la conformité au RGPD, être prêt pour le GDPR n’est pas un projet ponctuel. C’est une approche continue des affaires.

Faire confiance aux personnes avec lesquelles nous partageons nos données (en vous regardant Facebook!) Est une grande partie de notre façon de faire des affaires en ligne. Lorsqu’une entreprise a besoin de données personnelles pour exécuter son service, l’utilisateur doit savoir pourquoi et comment elles sont utilisées afin de pouvoir décider du service.

C’est pourquoi le RGPD responsabilise davantage les organisations et augmente les droits des individus.

Certains consultants avec lesquels nous avons parlé disent qu’il n’y a rien de tel que d’être conforme à 100% au RGPD. Il s’agit davantage de regarder les données et les processus "éthique" point de vue et pas autant "outils" ou "listes de contrôle".

Donc, ne cherchez pas de modèle, chaque organisation a sa façon de faire. Essayez de développer une stratégie efficace de protection des données et de confidentialité en fonction de votre scénario. Ce guide n’est qu’un point de départ, avec une approche générale et de haut niveau. Idéalement, vous devrez creuser dans chaque domaine de votre entreprise et voir comment vous collectez, traitez, divulguez, stockez et supprimez des données.

�� Ce guide est purement indicatif et ne constitue pas un conseil juridique ou une analyse juridique. Les organisations peuvent avoir besoin de demander un avis juridique indépendant pour des questions ou des questions juridiques spécifiques.

1. Connaître les concepts et articles clés concernant le RGPD

Être conforme au RGPD ne se limite pas à "réparer un site web". Cela fait partie de toute votre organisation.

Il n’y a que quelques situations où les entreprises ne traitent pas du tout les informations. Dans la plupart des cas, il existe différents niveaux de personnel clé (RH, informatique, marketing, équipes de sécurité) qui interagissent avec les données des clients et doivent donc connaître le règlement général sur la protection des données. Ce n’est pas une émission individuelle. Vous avez besoin d’implémentations techniques et juridiques.

Comprendre les termes est un grand pas. En voici quelques-unes que nous utiliserons dans le guide et qui vous aideront à naviguer dans le RGPD:

  • Personne concernée – une personne physique dont les données personnelles sont traitées par un responsable du traitement ou un sous-traitant.
  • Contrôleur de données – l’entité qui détermine les finalités, les conditions et les moyens du traitement des données personnelles.
  • Données personnelles – toute information relative à une personne physique ou à une personne concernée pouvant être utilisée pour identifier directement ou indirectement la personne.
  • Processeur de données – l’entité qui traite les données pour le compte du responsable du traitement.

Ensuite, familiarisez-vous avec les articles ci-dessous. Cela rendra votre transition vers le RGPD moins difficile.

  • Art. 5: Principes relatifs au traitement des données personnelles.
  • Art. 6: Bases légales du traitement des données personnelles.
  • Art. 12 – 22: Droits des personnes concernées (accès, portabilité des données, droit à l’oubli, etc.)
  • Art. 25 & 32: Les entreprises devraient mettre en œuvre les mesures de protection nécessaires pour protéger les données personnelles de la personne concernée.

⚡ Étapes d’action:

  • Prenez votre temps pour lire la loi.
  • Consultez notre guide GDPR WordPress complet.
  • Traitez soigneusement les données utilisateur. Traitez-le comme vous traitez les secrets commerciaux.
  • Évaluez vos produits, services, outils, fournisseurs, etc. selon les dispositions du RGPD.
  • Informez vos collaborateurs sur les risques et avantages du RGPD.

2. Que faire pour la conformité au RGPD maintenant

Vous devez agir dans une poignée de domaines différents:

2.1. Cartographie des données

Une étape importante vers la conformité au RGPD consiste à comprendre comment les données se déplacent dans votre organisation. Documenter la façon dont les informations circulent dans votre entreprise en faisant un inventaire vous aide à démontrer que vous vous conformez. Un bon point de départ devrait être cette carte de données: Modèle de carte de données GDPR

carte des données de conformité au gdpr

La cartographie du flux de données vous aidera également à identifier les zones susceptibles de provoquer des problèmes de conformité au RGPD. N’oubliez pas que les opérations de traitement ne peuvent être effectuées que si le responsable du traitement peut s’appuyer au moins sur une base légale. La base légale la plus appropriée dépendra des données personnelles traitées et des finalités du traitement.

2.2. Politique de confidentialité

Consultez et mettez à jour votre politique de confidentialité actuelle. C’est le premier endroit où les gens chercheront à vérifier la conformité au RGPD.

Vous devez communiquer aux particuliers la base juridique du traitement des données, les périodes de conservation, le droit de se plaindre lorsque les clients ne sont pas satisfaits de votre mise en œuvre, si leurs données feront l’objet d’une prise de décision automatisée et leurs droits en vertu du RGPD..

De plus, vous devez fournir les informations dans un langage concis, facile à comprendre et clair.

2.3. Entraînement

Le RGPD est un projet de changement commercial – les personnes avec lesquelles vous travaillez doivent comprendre l’importance de la protection des données et être formées aux principes de base du RGPD et aux procédures mises en œuvre pour la conformité..

Partagez cet article avec des personnes qui doivent être informées.

⚡ Étapes d’action:

  • Cartographier et documenter les flux de données effectués par les processeurs de données.
  • Soyez totalement transparent pour l’utilisateur qui cède ses informations.
  • Donner un avis informatif à vos employés, fournisseurs et clients conformément à l’art. 13 du RGPD.
  • Configurez votre méthode de consentement pour utiliser un consentement explicite / actif lors du traitement de données personnelles sensibles sur votre site Web.

3. Prochaines étapes de mise en conformité avec le RGPD

Les responsables du traitement des données devraient toujours coopérer avec l’autorité de surveillance en ce qui concerne l’accomplissement de leurs tâches.

Planifiez des audits réguliers des activités de traitement des données et des contrôles de sécurité dans votre organisation. Tenir à jour les enregistrements du traitement des données personnelles pour preuve de consentement.

3.1. Vérifiez ce que font les autres fournisseurs

Parce que le RGPD n’a pas de règles claires, le marché devra proposer différentes tactiques pour s’assurer que les données sont conformes, sans sacrifier l’expérience utilisateur. Beaucoup d’entreprises ont sorti de nouvelles fonctionnalités, alors assurez-vous de vérifier les sites Web des concurrents pour les changements et les meilleures pratiques pour votre créneau.

3.2. Signaler les violations de données

Vous devez vous assurer d’avoir les bonnes procédures en place pour détecter, signaler et enquêter non seulement sur les violations de données internes mais aussi externes. Soyez intelligent lors de la configuration de la matrice de violation de données en fonction de la gravité de la violation de données, du nombre de personnes concernées, du type de données personnelles concernées, etc..

Typiquement, vous devez signaler les violations de données à l’autorité de surveillance dans les 72 heures, sauf si les données personnelles ont été anonymisées ou cryptées.

3.3. Continuer à travailler sur les politiques, procédures et processus opérationnels

Comme mentionné précédemment, la confidentialité n’est pas un projet ponctuel. C’est un travail continu de s’assurer que les données que vous collectez sont sécurisées et utilisées avec une portée appropriée. Vous devriez revoir vos procédures pour vous assurer qu’elles couvrent tous les droits des individus, y compris la façon dont vous supprimeriez des données personnelles ou fourniriez des données électroniquement dans un format couramment utilisé.

⚡ Étapes d’action:

  • Concevoir un mécanisme de signalement des violations de données.
  • Mettre toutes les procédures internes en conformité avec le RGPD et les politiques de confidentialité.
  • Examiner et mettre à jour les contrats des employés, des clients et des fournisseurs.
  • Sécuriser les données personnelles grâce à des mesures organisationnelles et techniques appropriées.
  • Vérifiez si les transferts de données en dehors de l’UE sont conformes aux exigences du RGPD. N’oubliez pas les points de transition.

4. Ajustements du site Web

Ce sujet est un peu controversé, en particulier pour les développeurs et les spécialistes du marketing. Je dirais que l’ajustement des formulaires et l’obtention du consentement pour les cookies devraient résoudre 80% des problèmes. Cependant, gardez à l’esprit que ce n’est pas un avis juridique.

4.1. Formulaires d’adhésion

Il s’agit de la méthode standard utilisée par les entreprises pour collecter des informations, vous devez donc ajuster tous les formulaires que vous utilisez. Il n’y a pas de consensus sur la meilleure façon de procéder, mais nous suivons les recommandations de notre fournisseur de services de messagerie. Cette infographie rendre les opt-ins conformes au RGPD est un bon point de départ.

4.2. Consentement aux cookies

La version courte: informez vos visiteurs en langage clair de la finalité de vos cookies et trackers avant de définir autre chose que des cookies strictement nécessaires.

Il existe différentes façons pour les entreprises de mettre cela en œuvre, et Référence GDPR aux cookies ne clarifie pas les choses. Bien sûr, il y a ce qu’on appelle cookies fonctionnels qui sont utilisés pour une session, mais vous avez besoin d’un consentement spécifique pour définir un cookie pour suivre l’utilisateur.

Ce que vous devez savoir ici, c’est que une autre réglementation européenne (ePrivacy) sortira, ce qui légiférera encore plus les cookies.

5. Autres questions de conformité au RGPD à considérer

Voici d’autres aspects du RGPD qui sont tout aussi importants:

5.1. Transfert et divulgation des données

Regard sur le transfert de données personnelles. Assurez-vous que vos sous-traitants demanderont votre approbation chaque fois qu’ils ont l’intention de transférer des données en dehors de la UE / EEE. Les mêmes règles s’appliquent lorsque les sous-traitants ont l’intention de sous-traiter une partie des services qu’ils fournissent.

5.2. Évaluations d’impact sur la protection des données (DPIA)

Le RGPD introduit des DPIA obligatoires pour les organisations impliquées dans le traitement à haut risque, telles que les nouvelles technologies en cours de déploiement, une opération de profilage susceptible d’affecter les individus de manière significative, la surveillance à grande échelle d’une zone accessible au public, etc..

5.3. Évaluations des intérêts légitimes (LIA)

Contrairement aux DPIA, les LIA ne sont qu’une bonne pratique développée principalement par des spécialistes de la confidentialité et se réfère à toutes les situations où les contrôleurs de données cherchent à s’appuyer sur des intérêts légitimes (opérations de marketing, etc.). Une "l’intérêt" peut être considéré comme "légitime" tant que le responsable du traitement des données peut poursuivre cet intérêt d’une manière conforme à la protection des données et aux autres lois.

5.4. Délégués à la protection des données

Le RGPD exigera de certaines organisations qu’elles désignent un délégué à la protection des données (DPD). Les organisations nécessitant des DPD comprennent les autorités publiques, les organisations dont les activités impliquent le contrôle régulier et systématique des personnes concernées à grande échelle, ou les organisations qui traitent ce qui est actuellement connu sous le nom de "données personnelles sensibles" sur une grande Scale.

5.5. Traitement des données des enfants

Si votre organisation traite des données de sujets mineurs, vous devez vous assurer que vous disposez de systèmes adéquats pour vérifier les âges individuels et recueillir le consentement des tuteurs. Le RGPD contient des dispositions spécifiques pour les enfants de moins de 16 ans (veuillez noter l’article 8 du RGPD)

6. Suivi et audit

Les entreprises doivent reconnaître que la transparence sur la manière dont les données sont utilisées et protégées est désormais requise par la loi. Chaque organisation (y compris les organisations caritatives et les entités du secteur public) doit définir un périmètre pour lequel elle collecte des données spécifiques.

Vous ne devez collecter que les informations personnelles nécessaires pour fournir le service ou le produit et rien de plus. En outre, les données ne doivent pas être partagées à d’autres fins non liées.

Une autre grande chose est de garder les données à l’abri du piratage, exactes et à jour, et même de les supprimer après une période.

Le règlement général sur la protection des données laisse beaucoup de place à l’amélioration en matière de protection des personnes. C’est pourquoi le futur règlement ePrivacy apportera encore plus de transparence, en particulier dans le Big Data, apportant un éclairage sur l’occurrence et le but de l’analyse. Cela devrait être une raison suffisante pour surveiller et auditer régulièrement vos données.

Ne vous arrêtez pas ici. Accédez aux ressources officielles que nous avons utilisées pour ce guide et découvrez la confidentialité.

En fin de compte, il existe des niveaux de conformité, et vous devez décider lequel vous convient en fonction de bien plus de facteurs que ceux énumérés ici. Cependant, c’est un excellent début pour vous aider à aller dans la bonne direction et à se conformer au RGPD. Bien sûr, en tant qu’entreprise, nous devons tous rester compétitifs sur le marché afin qu’il y ait des compromis.

Comment vous préparez-vous à la conformité au RGPD? Partagez vos bonnes pratiques dans les commentaires!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map