Dans le 3ème épisode de notre série RGPD nous vous accompagnons dans la mise en conformité de votre entreprise grâce à une checklist !
Tenue d’un registre des traitements
Pour les entreprises de plus de 250 employés, il sera obligatoire de tenir un registre des traitements faisant état des informations sur le responsable du traitement, les destinataires des données et la finalité du traitement (offres commerciales, statistiques, etc…) Ce registre devra être accessible à tout moment par le CNIL.
Définition du périmètre des données sensibles
Le RGPD exige que les données sensibles fassent l’objet d’un traitement spécifique avec cryptage et pseudomysation. De plus le RGPD élargit la notion de données sensibles incluant dorénavant les origines « raciales », opinions politiques ou religieuses, orientations sexuelles, les données biométriques et/ou génétiques ainsi que toutes les informations relatives à la santé.
Respect des droits des personnes
À partir de la mise en application du RGPD les entreprises devront :
- Obtenir un consentement donné de manière libre et intelligible des personnes faisant l’objet du traitement de données et en garder la preuve accessible à tout moment.
- Garantir le droit à l’oubli et la surpression totale des données
- Garantir le droit à la portabilité des données vers une autre entité
Actualisation des contrats fournisseurs
Les sous-traitants et fournisseurs étant dorénavant co-responsables, n’oubliez pas d’intégrer des clauses mentionnant les nouvelles obligations imposées par le RGPD.
Élaboration une charte de bonnes pratiques
Une charte de bonnes pratiques est un bon moyen de rappeler à tous vos collaborateurs les nouvelles pratiques imposées par le RGPD ainsi que les sanctions encourues en cas d’écart. Une formation en interne peut maximiser l’assimilation de cette charte.
Mise au point sur les nouvelles missions du Data Protection Officer
Les missions du DPO seront larges puisqu’il sera en charge d’informer et d’assurer le respect de la nouvelle réglementation. Pas besoin de diplôme cependant le DPO devra avoir une bonne connaissance du droit informatique et libertés ainsi que des TIC (Technologies de l’Information et de la Communication).
Élaboration d’un plan de crise en cas de fuites de données
Même en prenant des précautions, le risque zéro n’existe pas, c’est pour cela qu’il faut mettre en place des procédures en cas de fuites de données (mot de passe, piratage, perte de données sensibles etc…) : les deux étapes les plus importantes et obligatoires seront la communication de la fuite à la CNIL et aux personnes concernées.
Vous avez des questions en tête auxquelles nous n’avons pas répondu ?
N’hésitez pas à nous écrire.
BSL Sécurité – Better Services for Leaders *
* le meilleur pour les leaders