La mise en conformité RGPD est obligatoire lorsque l’activité de votre entreprise implique la collecte et le traitement de données personnelles. Le but de ce type de projet est de parvenir à établir un degré de protection adéquat et suffisant, compte tenu des risques. Vous devez pouvoir démontrer à tout moment que vous avez pris les mesures nécessaires pour leur protection. C’est une obligation et non une alternative.
Plan de l'article
Le triage de données
Faire le tri dans les données que vous avez récoltées est une étape importante, surtout dans le cadre d’une démarche de mise en conformité rgpd. Il s’agit de définir l’importance de chaque information récoltée pour votre activité.
A lire également : Sciforma, logiciel de gestion de projet : optimisez votre portefeuille efficacement
Le triage de données permet de savoir si des données sensibles sont présentes dans votre base. Vous ne pouvez pas conserver des informations pour lesquelles vous n’avez aucune habilitation. Cette manœuvre vise à améliorer vos pratiques en vous incitant à minimiser la collecte de données au strict nécessaire.
Mise en conformité RGPD et recensement de données
Cette manœuvre visant à réaliser la cartographie des traitements opérés précède toujours la démarche de conformité au rgdp. Autrement dit, l’ensemble des données à caractères personnelles que traite votre organisme doit être recensé de manière guidée. C’est le point de départ à entreprendre, afin de parvenir à une vision globale de tous les traitements de données personnelles en circulation au sein de votre organisme.
A lire également : Tout ce que vous devez savoir sur le reporting financier
L’utilisation d’un outil spécialisé est recommandée pour assurer la conformité de votre organisme lors des Audits de la Commission nationale de l’information et des libertés. Ses différents modules vous aideront à réaliser un état des lieux de la conformité de votre organisme. Il permet aussi de définir votre degré de mise en conformité rgpd et de voir les fonctionnalités à établir pour y parvenir.
Le respect des droits des personnes
Pour vous conformer aux nouvelles obligations RGPD, vous devez porter vos actions à la connaissance de chaque personne dont vous récoltez les données, c’est-à-dire les informer sur l’utilisation de leurs informations personnelles, ainsi que sur leurs droits et libertés.
Vos obligations envers les propriétaires de données
Vous avez des obligations envers les personnes auprès de qui vous récoltez des informations à caractère personnel. Il est important d’établir cette communication pour les rassurer. Aussi, vous devez :
- Indiquer vos finalités
- Prouver votre intérêt légitime ou le fondement juridique qui vous autorise à le faire
- Renseigner le degré de protection des données stockées
- Informer sur le droit des personnes propriétaires des données et la protection de la vie privée de chacune d’elles
- Renseigner les éventuels transferts de données
Le droit des propriétaires de données
Les personnes propriétaires de vos données ont des droits dessus. Par exemple, elles ont le droit à l’oubli et à l’effacement de leurs données. Votre organisme se doit de respecter leurs droits et d’obtenir leur consentement avant de récolter et d’exploiter leurs données à caractère personnel.
La sécurisation de données
Chaque organisme qui traite des données personnelles, se doit de les sécuriser au maximum, conformément aux propos contenus dans le règlement européen relatif à l’informatique. Vous êtes responsable de la protection des données collectées. En cas de violation ou de non-conformité de votre politique de confidentialité, votre organisme risque une amende et une sanction.
Les mesures de sécurité à prendre dépendent principalement de la sensibilité des informations que vous détenez. Elles servent surtout à respecter la législation en vigueur et à assurer la protection des flux de données. Quoi qu’il en soit, il y a différentes mesures à mettre en place :
- Mise à jour de vos logiciels et mise en place d’antivirus
- Instauration d’un système de contrôle d’accès : data protection
- Respect et application d’un délai limite de traçabilité des données conservées.