Avez-vous désigné un référent compétent en charge d’assurer la conformité au RGPD (règlement général sur la protection des données) ?

Que votre organisme soit public ou privé, si votre organisme traite des données dites « sensibles » (ex : données de santé, données génétiques etc.) ou des données relatives aux condamnations pénales et aux infractions à grande échelle, et/ou effectue des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées, vous devez désigner un DPO en interne ou externalisé ou mutualisé. Ce DPO devra notamment avoir une bonne connaissance de la réglementation en matière de protection des données et être déclaré, une fois désigné par votre organisme, auprès de la CNIL.

En tout état de cause, il est recommandé de désigner et de former une personne référente pour animer la gestion des données personnelles.

Avez-vous établi une liste des traitements de données à caractère personnel, quel que soit le support (papier ou numérique) effectués par votre organisme (gestion des clients, gestion du personnel etc.) ?

Il s’agit :

• D’identifier pour chaque traitement de données personnelles (par exemple : gestion du personnel) et de s’assurer de :
• La licéité du traitement et notamment que le traitement a un fondement juridique (ex : consentement, intérêt légitime, etc.) ;
• La nature de l’ensemble des données personnelles traitées et notamment les données sensibles ;
• À quoi servent ces données (ce que vous en faites), c’est-à-dire la finalité du traitement, donc de l’utilisation de ces données ;
• Qui accède aux données ;
• À qui elles sont communiquées ;
• Combien de temps vous les conservez (en fonction de l’objectif de la collecte) ;
• S’assurer du respect des droits des personnes ;
• Comment leur sécurisation (données cryptées, coffre-fort, …) est assurée en fonction de la nature du support (disque dur, serveur, …).
• Et de consigner ces descriptions des traitements dans « un registre des activités de traitement ».

Ce registre doit être tenu à la disposition de la CNIL en cas de contrôle.

Est-ce que les traitements des données sont conformes au RGPD ?

Il s’agit d’analyser les traitements concernés par les données recensées :

• Mes données sont-elles triées pour ne conserver que celles qui sont pertinentes selon la finalité de leur traitement ? (Je ne collecte pas des données « au cas où » mais seulement celles qui sont nécessaires au regard de la finalité de mon traitement) ;
• Mes données communiquées sont-elles maitrisées et strictement nécessaires à mon activité ? (Personnes destinataires habilitées, informations limitées, gestion des droits d’accès, sécurisation des données, …) ?
• Mes données sont-elles détruites ou archivées au-delà des délais légaux de prescription ou des délais définis par les différentes obligations de conservation (contractuel, interne, …) ?

Est-ce que les personnes dont les données font ou vont faire l’objet d’un traitement sont informées ? Pour les données sensibles, avez-vous recueilli le consentement écrit de la personne ?

Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes portant notamment sur :

• L’identité du responsable (personne morale) du traitement ;
• La finalité du traitement ;
• Le caractère obligatoire ou facultatif des données ;
• Les destinataires des données ;
• Leurs droits (droit d’accès, de rectification, d’opposition, …) ;
• Les éventuels transferts de données vers des pays hors Union Européenne/ UE ;
• Pour d’autres mentions obligatoires se référer au site de la CNIL ou à l’article 13 du RGPD.

Pour la collecte de données sensibles, vous êtes-vous posé la question du respect d’une des exceptions prévues par l’article 9.2 du RGPD, notamment si :

• La personne concernée a donné son consentement au traitement des informations la concernant ;
• Le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée etc.

Faites-vous appel à des sous-traitants pour le traitement de ces données ? Partagez-vous un accès à ces données avec des sous-traitants ? Avez-vous prévu des clauses relatives au RGPD (confidentialité par exemple) dans les contrats de sous-traitance ? Avez- vous prévu la mise à jour des contrats de sous-traitance en cours ?

Vos sous-traitants, au sens du RPGD, doivent vous donner les garanties nécessaires que les traitements de données qu’ils mettent en œuvre pour votre compte, sont bien réalisés en conformité avec le RGPD.

Est-ce qu’il y a des transferts de données en dehors de l’UE (hébergeur de données par exemple) ? Avez-vous prévu des dispositions propres à cette situation (clauses contractuelles spécifiques avec le prestataire par exemple) ?

Vous pouvez transférer des données en dehors de l’UE, à condition d’assurer un niveau de protection des données suffisant et approprié.

Avez-vous sensibilisé vos collaborateurs au RGPD ?

Pour faciliter l’application du RGPD, sensibiliser vos collaborateurs :

• À la protection des données personnelles ;
• À l’exercice des droits des personnes et des délais de réponses à leur demande ;
• Aux procédures internes de la gestion de la protection des données personnelles (registre de traitements par exemple) et de leur mise à jour.

Avez-vous identifié et analysé les traitements qui présentent des risques élevés pour la vie privée des personnes ?

Cette analyse, aussi appelée analyse d’impact relative à la protection des données / AIPD doit être effectuée et consignée dans un document, qui doit être tenu à la disposition de la CNIL en cas de contrôle. Cette analyse vous permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Tenez-vous un plan d’action récapitulant l’ensemble des actions correctives à mettre en place pour être en conformité avec la loi RGPD ?

Ce plan peut comprendre par exemple, la sensibilisation des collaborateurs, les éventuelles nouvelles mesures de sécurisation des données, la mise à jour des documents pour l’information des personnes dont les données sont traitées…