Dans le cadre d’une mise en conformité au RGPD, toute personne traitant des données à caractère personnel doit mettre en oeuvre les actions suivantes :
1. Identification des activités de traitement des données à caractère personnel
- Cartographie des traitements des données (audit) ;
- Le registre des activités de traitement (le cas échéant) ;
- L’identification des activités de traitement présentant un risque élevé.
2. Actions correctives et Analyse d’impact (AIPD)
- Prendre toute mesure corrective nécessaire pour garantir que les activités de traitement des données identifiées sont conformes aux principes de la protection des données ;
- Lorsque l’activité de traitement peut entraîner un risque élevé, la réalisation d’une analyse de l’impact sur la protection des données (AIPD).
3. Protection des données dès la conception et par défaut
- Mise en œuvre de mesures techniques et organisationnelles afin de garantir que les activités de traitement des données existantes et futures soient identifiées dès le départ, revue régulièrement et conformes aux exigences du RGPD à tout moment (voir ici pour plus de détails sur la protection des données dès la conception et par défaut).
4. Sécurité et violation des données
- Garantir/vérifier qu’un niveau de sécurité adéquat des données à caractère personnel est en place (par exemple, gestion de l’accès, cryptage, etc.) ; et
- Mettre en place une procédure de notification des violations de données à caractère personnel afin, le cas échéant, d’informer à la fois l’autorité de contrôle et les personnes concernées de la survenance d’une violation de données.
5. Politique de confidentialité
- Fournir une notice d’information aux personnes concernées et, si nécessaire, obtenir leur consentement avant de traiter leurs informations (cliquez ici pour plus d’informations sur le contenu d’un avis de confidentialité).
6. Demandes des personnes concernées (ex: droit d’accès etc.)
- Mise en place de toutes les mesures techniques et organisationnelles nécessaires (par exemple, procédures, etc.) afin de traiter les demandes relatives aux droits des personnes concernées conformément aux exigences du RGPD (par exemple, droit d’accès, portabilité des données, effacement, droit d’opposition, etc.).
7. Relation avec les tiers
- Mettre à jour et/ou conclure des contrats de protection des données avec des tiers (y compris des entités de sociétés d’un même groupe) traitant des données à caractère personnel au nom de votre société ou conjointement avec elle.
- Transferts internationaux de données : mise en place d’une garantie adéquate lorsque les données sont divulguées à des tiers en dehors de l’Union européenne (par exemple, BCR, clauses types de l’UE…)