Comment se mettre en conformité avec le RGPD ?

Vous êtes une entreprise qui collecte et stocke des données personnelles ? Vous devez donc être à jour vis-à-vis des exigences du règlement général sur la protection des données (RGPD).

Cette mise en conformité ne se fait pas du jour au lendemain. Il s’agit d’un processus qui s’établit dans le temps et qui nécessite des réajustements constants.

Si votre entreprise a besoin de se mettre en conformité avec le RGPD, découvrez ici quelques étapes pour régulariser la situation de cette dernière.

La cartographie des traitements

La cartographie des traitements est le baromètre par lequel vous pouvez mesurer le niveau de conformité de votre organisme au RGPD. Elle consiste à recenser toutes les données personnelles collectées et stockées par un organisme. C’est en effet le début du processus de mise en conformité au RGPD.

Elle permet d’avoir une vision globale des traitements de données personnelles effectués par l’organisme. Par conséquent, elle favorise l’accessibilité des collaborateurs aux différentes données personnelles.

La cartographie des traitements reprend toutes les informations contenues dans le registre des traitements. Elles portent sur :

  • La finalité du traitement ;
  • Les catégories de données ;
  • Les personnes propriétaires des données ;
  • Les mesures de sécurité appliquées au traitement…

La non-réalisation de la cartographie des traitements peut vous exposer à toutes les sanctions RGPD.

L’identification de la finalité des traitements

Aucun organisme ayant une base de données personnelles ne peut déroger à cette obligation. Elle consiste à trouver une réponse à l’interrogation suivante : « Pourquoi l’entreprise collecte et stocke les données personnelles de ses clients ? »

La réponse à cette question va varier en fonction de la nature de l’activité commerciale que mène l’entreprise. Si vous fournissez par exemple des services de téléphonie mobile, vous aurez besoin des informations personnelles de vos clients pour leur vendre une SIM. À cette occasion, ces derniers devront renseigner un formulaire physique ou virtuel.

Dans ce cadre, les entreprises n’ont pas le droit de demander des informations superflues qui n’ont rien à voir avec le service qu’elles fournissent. Ce comportement est illégal et pourrait entraîner l’application de sanctions. Celles-ci peuvent prendre la forme d’un avertissement, de sanctions pécuniaires, de sanctions pénales ou d’injonction de cessation de traitement.

La communication aux clients et collaborateurs

Aucun traitement de données ne doit se faire à l’insu de la personne concernée. En effet, cette dernière fournit ces informations personnelles en tout état de connaissance. De même, elle pourra accéder à ses données en cas de besoins.

Cette dernière exigence est plus accrue dans le cadre d’une relation de travail. Un salarié pourra donc obtenir de son employeur des informations relatives à son contrat, sa fiche de paie, ses évaluations…

La conservation de données sur une durée raisonnable

Selon le RGPD, les données personnelles ne peuvent être conservées indéfiniment. Chaque entreprise doit limiter dans le temps la durée de conservation des données personnelles qu’elle détient. Pour ce faire, elle peut faire un choix entre l’archivage :

  • Courant ;
  • Intermédiaire ;
  • Définitif.

L’archivage courant est nécessaire pour la finalité du traitement. Sa durée est déterminée de commun accord entre le responsable de traitement et la personne concernée. L’archivage intermédiaire quant à lui évoque l’hypothèse d’une conservation plus longue que prévu par les termes du contrat. Le cas le plus courant est celui dans lequel la durée fixée par une loi est largement supérieure à celle retenue dans un contrat.

En ce qui concerne l’archivage définitif, il porte sur des données d’intérêt public comme les données historiques, scientifiques, statistiques, démographiques… Pour avoir des détails précis concernant les délais, référez-vous aux Codes du travail, de la santé publique, de la consommation ou aux délibérations de la CNIL.

Le choix de la base de données

Cette étape doit avoir une assise légale. Il s’agit du titre juridique qui est la raison vous permettant de traiter des données personnelles.

LE RGPD dresse une liste limitative des bases légales qui peuvent justifier la collecte et le stockage des données d’une personne. Vous devez donc identifier la base légale qui vous autorise à mener vos activités. Il peut s’agir d’une seule ou de nombreuses bases.

Si le contrat entre votre entreprise et le client arrive à terme, la base juridique disparaît avec ce dernier. Il en est de même de vos données personnelles.

L’accord de volonté RGPD

Il est impératif de recueillir le consentement d’une personne dans le cadre d’un traitement de données à caractère personnel. En effet, l’assertion selon laquelle « qui ne dit rien consent. » n’est pas admise ici. Le consentement doit donc être libre, spécifique, éclairé et univoque.

La volonté doit être expressément manifestée à travers des cases à cocher, une signature manuscrite… Et le responsable de traitement doit conserver l’acte de consentement afin d’en faire la preuve à n’importe quel moment.

Actualités des entrepreneurs

Dossiers à la une

Actualités

Advertismentspot_img

à la une

Changement d’une manivelle volet roulant : pourquoi est-ce important ?

Bien que votre volet roulant ne présente aucun signe de dysfonctionnement, il est tout de même possible qu’il se bloque de façon subite. Si...

Comment réaliser l’aménagement de son espace de travail ?

S'il s'est imposé comme une alternative quasiment incontournable pour des milliers de salariés pendant la crise sanitaire, le télétravail a aussi fait de nouveaux...

Marc Muret : Utilisation du métavers dans le métier de la santé

Il existe de nombreuses applications potentielles pour les métavers dans le domaine des soins de santé. Par exemple, les professionnels de la santé pourraient...
Advertismentspot_img