Respecter la règlementation est essentiel pour protéger les données personnelles et éviter des amendes pouvant atteindre 20 M€ ou 4 % du chiffre d’affaires mondial. Voici les 10 étapes clés de notre Checklist conformité RGPD pour garantir votre conformité :

1. Cartographier vos données : Identifiez toutes les données personnelles que vous traitez, leur stockage, leur accès et leur cycle de vie.
2. Base juridique du traitement : Assurez-vous que chaque traitement repose sur une base légale valide (consentement, contrat, obligation légale, etc.).
3. Droits des personnes concernées : Gérez efficacement les demandes d’accès, de rectification ou d’effacement des données.
4. Analyses d’impact (AIPD) : Réalisez une AIPD pour les traitements à haut risque comme le profilage ou la surveillance. (Notre article pour initier une AIPD)
5. Réponse aux violations de données : Mettez en place un plan pour détecter, signaler (sous 72h) et gérer les violations de données.
6. Protection dès la conception : Intégrez la sécurité des données dès la phase de conception de vos projets (Lire notre article sur le Privacy by Design).
7. Gestion des sous-traitants : Vérifiez la conformité RGPD de vos prestataires et formalisez vos relations avec des accords de traitement.
8. Formation du personnel : Sensibilisez et formez vos équipes régulièrement pour minimiser les erreurs humaines.
9. Documentation obligatoire : Maintenez un registre des traitements, preuves de consentement et procédures de sécurité à jour.
10. Examens réguliers : Auditez vos pratiques, mettez à jour vos processus et suivez les évolutions réglementaires. (Découvrez notre solution pour des conrôles RGPD ciblés).

Résumé rapide de votre 1ère Checklist conformité RGPD :

Suivre ces étapes garantit une gestion des données conforme, sécurisée et en phase avec les attentes des utilisateurs.

1. Cartographier Vos Données : 1er point de votre checklist conformité RGPD

Inventaire des Types de Données Personnelles

Listez et documentez toutes les données personnelles que vous traitez. Cette étape vous permet de savoir exactement quelles informations vous détenez et pourquoi.

Voici les principales catégories sur lesquelles vous concentrer :

• Données d’identification : noms, adresses, pièces d’identité.
• Données sensibles : informations médicales, opinions politiques.
• Données professionnelles : CV, évaluations, salaires.
• Données techniques : adresses IP, identifiants de connexion.

“Pour se préparer au RGPD, vous devez savoir quelles données personnelles vous détenez, où elles sont stockées, qui y a accès et pour quoi faire.” – Jérôme – DPO certifié AFNOR

Une fois les données identifiées, il est crucial de suivre leur parcours complet.

Suivi des Flux de Données

Comprendre comment vos données circulent est indispensable pour garantir leur sécurité à chaque étape de leur cycle de vie. Voici les éléments essentiels à documenter :

Pour structurer efficacement cette cartographie, suivez ces étapes clés :

1. Identification des Entités
Dressez une liste des personnes ou services ayant accès aux données, ainsi que leurs objectifs.

2. Analyse des Flux
Documentez chaque étape du parcours des données, de leur collecte à leur suppression. Par exemple, tracer chaque mouvement garantit une conformité optimale.

3. Évaluation des Risques
Au regard des composants de vos traitements, identifier les points nécessitant des mesures techniques et organistionnelles comlplémentaires.

La cartographie des données n’est pas une tâche unique. Elle doit être mise à jour régulièrement pour refléter l’évolution de vos traitements et garantir une conformité continue.

2. Base Juridique du Traitement : élément essentiel de la conformité RGPD

Checklist Bases Juridiques pour la conformité RGPD

Chaque traitement de données doit reposer sur l’une des six bases juridiques prévues par le RGPD. Ce choix doit être fait et documenté avant de commencer tout traitement.

“Vous devez avoir une base juridique valable pour traiter des données personnelles. Aucune base n’est ‘meilleure’ ou plus importante que les autres – la base la plus appropriée dépendra de votre objectif et de votre relation avec l’individu.” – ICO – Autorité Britannique

Ce choix s’inscrit dans une démarche globale de conformité, complémentaire à la cartographie des données et à la mise en place de mesures de sécurité adaptées.

Checklist Conformité RGPD pour un Consentement bien géré

La gestion du consentement exige une organisation rigoureuse et des outils spécifiques pour garantir sa traçabilité et sa conformité.

• Collecte du Consentement
  • Proposez des formulaires distincts des conditions générales.
  • Utilisez un langage clair et compréhensible.
  • Assurez un accès facile aux options de consentement.
  • Intégrez des cases à cocher non préremplies.
• Conservation des Preuves
  • Enregistrez des informations précises : date, heure, contenu, méthode utilisée, et choix exprimés par l’utilisateur.
• Gestion des Retraits
  • Mettez en place des mécanismes simples pour permettre aux utilisateurs de retirer leur consentement à tout moment.

“La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n’affectera pas la licéité du traitement fondé sur le consentement effectué avant son retrait. Avant de donner son consentement, la personne concernée doit en être informée. Le retrait doit être aussi simple que le consentement.” – Article 7

L’utilisation de tableaux de bord interactifs est une solution efficace pour permettre aux utilisateurs de gérer leurs préférences et consulter l’historique de leurs décisions.

Enfin, il est crucial de réexaminer régulièrement la base juridique associée à vos traitements pour rester conforme aux évolutions législatives et technologiques. Cela garantit une gestion des données en phase avec le principe de base de la conformité RGPD.

3. Droits des Personnes Concernées

La gestion des droits des individus est un élément clé de votre checklist pour viser la conformité RGPD. Elle repose sur les bases juridiques établies et garantit la transparence et la protection des données.

Checklist pour la Gestion des Demandes d’Accès

Il est essentiel de disposer d’un processus clair pour traiter les demandes d’accès aux données personnelles. Voici les étapes à suivre pour chaque demande :

• Accuser réception de la demande.
• Vérifiez l’identité du demandeur pour éviter tout accès non autorisé.
• Assurez-vous de respecter les droits en cas de données partagées.
• Fournissez les informations de manière claire et compréhensible.
• Transmettez les données de façon sécurisée pour prévenir tout risque de fuite.
• Enregistrer le traitement de la demande dans un registre dédié

Respecter ces délais est aussi important que de fournir des informations précises et complètes.

« Les modalités doivent être prévues pour faciliter l’exercice des droits conférés à la personne concernée au titre du présent règlement, y compris les mécanismes de demande et d’obtention, le cas échéant gratuitement, notamment d’accès aux données, de rectification ou d’effacement de celles-ci et d’exercice du droit d’opposition. » – Considérant 59

Respect du Contenu de la Réponse

Votre réponse, si la demande est légitime, doit inclure des informations essentielles comme :

• Les finalités pour lesquelles les données sont traitées.
• Les catégories de données concernées.
• Les destinataires ou catégories de destinataires des données.
• La durée de conservation prévue.
• L’origine des données si elles n’ont pas été collectées directement.
• L’existence de processus décisionnels automatisés, s’il y a lieu.

Si une demande est refusée, expliquez clairement le motif, informez la personne de son droit de recours et notifiez votre décision dans un délai d’un mois. Cela garantit une communication transparente et conforme.

4. Analyses d’Impact sur la Protection des Données

Identifier les Activités à Haut Risque

Pour se conformer au RGPD, il est crucial d’identifier les traitements présentant des risques élevés. Trois catégories de traitements nécessitent systématiquement une AIPD :

• Profilage systématique et étendu ayant des effets notables
• Traitement à grande échelle de données sensibles
• Surveillance systématique dans des espaces publics

Voici un tableau synthétique des principaux critères de risque accompagnés d’exemples :

« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et tenant compte de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit, avant le traitement, réaliser une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. » Article 35 du RGPD.

Une fois les activités à haut risque identifiées, il est temps de passer à la mise en œuvre de l’AIPD.

Exécuter l’AIPD

L’AIPD repose sur sept étapes clés :

1. Définir le traitement : précisez la nature, la portée et le contexte du traitement.
2. Évaluer la proportionnalité : analysez si le traitement est adéquat par rapport aux objectifs visés.
3. Recueillir des avis : sollicitez les retours des parties concernées et d’experts.
4. Analyser les risques :

5. Proposer des mesures : appliquez des contrôles techniques et organisationnels pour limiter les risques.
6. Documenter : consignez toutes les analyses et décisions prises.
7. Mettre en œuvre et suivre : appliquez les mesures et procédez à des révisions régulières.

Faire appel à un Délégué à la Protection des Données (DPO) est fortement conseillé tout au long de ces étapes. Des services comme Opt-on proposent un accompagnement à partir de 32 € par mois pour garantir la conformité des AIPD au RGPD.

Le “risque” dans ce contexte concerne le potentiel de préjudice physique, matériel ou non matériel significatif pour les individus.

5. Capacité de Réponse aux Violations de Données

Pour rester conforme au RGPD, il est indispensable de réagir rapidement et efficacement en cas de violation de données. Cela va de pair avec les analyses d’impact et les évaluations des risques.

Étapes de Signalement des Violations

Une gestion rapide et organisée est essentielle dès qu’une violation est détectée. Voici les étapes clés à suivre :

Chaque incident doit être documenté avec précision. Même les violations mineures, qui ne nécessitent pas de notification, doivent figurer dans un registre dédié.

Si une violation expose des données à un accès ou une divulgation non autorisés, il est impératif d’agir immédiatement. Cela peut inclure des actions comme :

• Changer les mots de passe compromis
• Restreindre l’accès aux appareils affectés
• Renforcer les mesures de sécurité existantes

Ces mesures s’inscrivent dans une stratégie globale de gestion RGPD, comme évoqué précédemment.

Formation du Personnel aux Violations

Former vos équipes est essentiel pour garantir une détection rapide et une réponse coordonnée en cas d’incident. Un programme structuré doit couvrir les aspects suivants :

Des ressources comme celles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) offrent des formations gratuites sur les principes fondamentaux de la cybersécurité et la gestion des incidents.

Pour être prêt en cas d’incident, il est recommandé de créer des modèles de notification et de définir des processus clairs. Respecter les délais de notification est crucial, car tout manquement peut entraîner des amendes pouvant atteindre 2 % du chiffre d’affaires mondial. Un registre des événements est également nécessaire pour répondre à l’obligation de documentation.

6. Protection des Données dès la Conception : un point récurrent de votre checklist conformité RGPD

La protection des données dès la conception, ou Privacy by Design, consiste à intégrer des mesures de sécurité dès le début des projets.

Planification des Projets

La planification implique étroitement les équipes techniques et le DPO (Délégué à la Protection des Données). Voici les étapes clés :

En intégrant ces actions dès le départ, il devient plus simple d’appliquer les mesures de sécurité dans les étapes suivantes.

Limitation de la Collecte de Données

Le principe de minimisation impose de collecter uniquement les données strictement nécessaires. Voici quelques bonnes pratiques :

• Analysez la pertinence des données collectées et appliquez des mesures comme la pseudonymisation ou l’anonymisation dès le départ.
• Élaborez une politique claire de conservation, avec suppression automatique ou archivage sécurisé des données.

L’article 25 du RGPD exige que le responsable du traitement intègre, dès la phase de conception et tout au long du processus, des mesures techniques et organisationnelles pour respecter les principes de protection des données, notamment la minimisation.

Par exemple, pour un formulaire d’inscription à une newsletter, ne demandez que l’adresse e-mail comme champ obligatoire, en laissant les autres champs facultatifs. Ces pratiques permettent de limiter les risques et de renforcer la conformité au RGPD, tout en posant des bases solides pour les étapes suivantes.

7. Gestion des Sous-traitants

La gestion des sous-traitants joue un rôle clé dans le respect du RGPD. Il est essentiel de s’assurer que vos fournisseurs respectent pleinement les exigences du règlement.

Vérification de la Conformité des Sous-traitants

Pour évaluer vos sous-traitants, basez-vous sur des critères bien définis. Une évaluation rigoureuse est indispensable pour garantir la conformité.

Pour une vérification efficace, voici quelques actions à entreprendre :

• Réaliser des audits réguliers des mesures de protection des données.
• Passer en revue l’historique des incidents de sécurité.
• Vérifier les références et la solidité financière des sous-traitants.
• Confirmer la validité des certifications et licences.

Ces étapes permettent de poser les bases pour établir des accords de traitement conformes au RGPD.

Accords de Traitement des Données (ou Data Processing Agreement)

Selon l’article 28 du RGPD, tout traitement effectué par un sous-traitant doit être encadré par un contrat écrit ou un acte juridique équivalent. Ce contrat doit lier le sous-traitant au responsable du traitement et préciser les modalités du traitement.

Voici certains éléments essentiels à inclure dans un accord de traitement (DPA) :

1. Objet et durée du traitement
   Le contrat doit détailler clairement les données concernées et la durée pendant laquelle elles seront conservées.
2. Obligations du sous-traitant
   Le sous-traitant est tenu de respecter plusieurs engagements : suivre des instructions documentées, garantir la confidentialité des données, appliquer des mesures de sécurité adéquates et aider le responsable dans la gestion des demandes des personnes concernées.
3. Conditions de sous-traitance ultérieure
   Toute sous-traitance supplémentaire nécessite une autorisation préalable explicite.

Concernant les contrats de sous-traitance, ou de responsabilité conjointe, une checklist spéciale pour assurer la conformité RGPD des relations devrait comporter au moins vingt points de contrôle.

Les conséquences en cas de non-respect des obligations peuvent être très lourdes.

8. Formation du Personnel : à inclure dans votre checklist annuel de conformité RGPD

Après avoir couvert la gestion des données, des risques et des sous-traitants, concentrons-nous sur l’importance de former vos équipes. La montée en compétences est essentielle pour garantir la conformité au RGPD et instaurer une culture solide de protection des données.

Plan de Formation RGPD

Selon les chiffres, 73 % des entreprises constatent une meilleure gestion des données clients après la mise en œuvre du RGPD.

Quelques bonnes pratiques à adopter :

• Documentez chaque session de formation.
• Évaluez régulièrement la compréhension des participants.
• Mettez à jour le contenu pédagogique pour suivre les évolutions du RGPD.

Créer une Culture de Protection des Données

Former vos équipes en continu aide à limiter les erreurs humaines, souvent à l’origine des incidents. Le RGPD exige que tout collaborateur ayant accès aux données personnelles respecte des consignes précises.

Voici trois axes pour renforcer cette culture :

• Sensibilisation continue : Organisez des rappels réguliers et mettez à jour les consignes pour maintenir une vigilance constante.
• Responsabilisation des équipes : Chaque service doit comprendre son rôle spécifique, comme la gestion du consentement pour le marketing ou la sécurité technique pour l’IT.
• Analyse des incidents : Étudiez des cas concrets, comme la violation de données de British Airways en 2018, qui a conduit à une amende de 20 millions £. Ces exemples marquent les esprits et rappellent les conséquences d’un manquement.

Les entreprises qui réussissent leur conformité au RGPD intègrent naturellement la protection des données dans leur quotidien. Les formations régulières, associées à des évaluations fréquentes, sont la clé pour suivre les évolutions réglementaires et garantir une conformité durable.

Ces formations participent au respect des principes de protection dès la conception et par défaut imposés par l’article 25 du RGPD.

9. Checklist de la Documentation Obligatoire pour la Conformité RGPD

La documentation obligatoire formalise vos démarches de conformité. Une gestion soignée de ces documents peut vous éviter des sanctions pouvant atteindre 20 M€.

Registre des Activités de Traitement

Le Registre des Activités de Traitement est obligatoire pour les organisations qui réalisent des traitements réguliers. Autant dire donc que cette obligation du RGPD concerne la très grande majorité des entreprises, collectivités ou associations.

Que doit contenir un Registre des traitements de données personnelles ?

• Coordonnées : Informations sur le responsable de traitement, le DPO, et le cas échéant les sous-traitants et responsables conjoints.
• Finalités : Objectifs détaillés des traitements effectués.
• Bases légales : voir le paragraphe dédié 😉
• Personnes concernée : Clients, Employés, personnes vulnérables, …
• Catégories de données : Types de données personnelles concernées.
• Destinataires : Identité des tiers ayant accès aux données.
• Transferts hors UE : Pays concernés et garanties mises en place.
• Mesures de protection spcéifiques.

Opt-on conseille d’utiliser un format électronique pour faciliter les mises à jour et le partage avec les autorités et les tiers. Attention toutefois à évaluer la pertinence d’un nouvel outil consommateur de ressources au regard du nombre de traitements et des risques.

Documents de Conformité

En complément du Registre, d’autres documents sont essentiels pour une conformité complète :

• Cartographie des données : Créer une représentation visuelle des traitements permets aux directions d’appréhender les flux de données.
• Preuves de consentement : Conservez des traces précises de la nature et du moment du recueil des consentements.
• Procédures de sécurité : Documentez en détail les mesures techniques et organisationnelles mises en place (chiffrement, contrôles d’accès, sauvegardes, plans de continuité).

Assurez-vous de disposer d’un registre interne de toutes les activités de traitement effectuées par les sous-traitants pour le compte de votre organisation, et veillez à ce que toutes les informations soient formelles, documentées, complètes et précises.

Pour une gestion efficace, utilisez des outils adaptés, révisez régulièrement vos documents et attribuez un responsable à chaque élément. Cette organisation facilite les contrôles et garantit une mise à jour continue de vos pratiques RGPD.

10. Examens Réguliers de vos checklist conformité RGPD

Vérifications de Conformité

Respecter le RGPD implique de surveiller régulièrement vos pratiques et de réaliser des audits pour détecter rapidement les failles avant qu’elles ne causent des problèmes coûteux.

Voici un programme d’audit suggéré :

• Audits fréquents des traitements de données (ex. : tous les trimestres).
• Évaluations périodiques des risques de sécurité (ex. : tous les six mois).
• Revue annuelle exhaustive des politiques et procédures internes.

Pour simplifier ces contrôles, plusieurs outils peuvent être utilisés. Opt-on utilise le logiciel Dastra pour sa facilitée d’utilisation et son prix abordable.

Ces solutions permettent également de maintenir vos pratiques conformes en continu.

Mises à Jour RGPD

Une fois vos pratiques vérifiées, il est crucial de rester informé des évolutions réglementaires. Le RGPD exige non seulement des audits réguliers, mais aussi une veille constante pour intégrer rapidement les nouvelles obligations.

Voici quelques actions clés pour rester en conformité :

• Suivre les annonces officielles du Comité européen de la protection des données (EDPB), et de la CNIL.
• Participer à des webinaires et conférences dédiés à la protection des données.
• S’inscrire à des newsletters juridiques spécialisées.

Des associations comme l’AFCDP permettent le suivi des changements réglementaires. Cette association de DPO est la premier regroupement d’expert de la protection des données.

Points à surveiller :

• Réviser régulièrement les mesures techniques de sécurité.
• Former le personnel de manière continue.
• Mettre à jour les contrats avec les sous-traitants selon les nouvelles exigences.
• Assurer un suivi actif des modifications de processus pour intégrer les évolutions légales.

Un calendrier précis pour les révisions, associé à des outils adaptés, garantit une conformité durable et vous aide à mieux protéger les données.

Prochaines Étapes

Pour mettre en œuvre concrètement votre conformité au RGPD, voici quelques actions clés à considérer :

• Audit initial des données
  Commencez par un audit complet de vos données personnelles. Des solutions comme celles proposées par Opt-on vous aident à cartographier vos traitements et à initier vos registres.
• Mise à jour de la documentation
  Créer dès maintenant vos différents checklist conformité RGPD et les registres.
• Documenter les bases légales
  Pour chaque traitement de données, identifiez et documentez une base juridique appropriée. Cela garantit une traçabilité complète et renforce votre conformité.
• Former vos équipes
  Proposez des formations régulières, comme des webinaires de la CNIL ou des conférences spécialisées. Par exemple, l’affaire Criteo, sanctionnée de 40 M€ en 2023, montre l’importance de rester informé sur les évolutions des pratiques.
• Assurer une veille réglementaire et téchniques
  Suivez les actualités de la CNIL, de l’ANSSI et abonnez-vous à des newsletters spécialisées dans le numérique éthique. Adaptez vos processus et checklist en fonction du contexte pour maintenir votre conformité RGPD.

Ces étapes vous permettront d’avancer efficacement dans votre démarche de conformité RGPD.