Comment se mettre en conformité au RGPD / GDPR

Recenser ses traitements de données

Il s’agit de cartographier l’ensemble des traitements réalisés au sein de votre entreprise dans un registre, tenu à jour par un délégué à la protection des données (DPO).

En effet ce document doit pouvoir être transmis à la CNIL sur demande et contenir un certain nombre d’informations :

• Les traitements réalisés par votre activité et leurs catégories
• Les catégories de données et les informations les concernant (type, durée de conservation…)
• Les conditions de réalisation de ces traitements (sous-traitance par exemple)

Nous pouvons si vous le souhaitez vous fournir un modèle de registre pour réaliser votre cartographie.

Définir les finalités et trier les données en vertu du principe de minimisation

Les finalités d’un traitement permettent de définir les contours de celui-ci.

Concrètement, les données sont collectées dans un but bien précis.

Cependant si vous souhaitez les utiliser en vue d’une autre finalité, vous devez prévenir les personnes concernées.

Par ailleurs, seules les données en lien direct avec la finalité du traitement et strictement nécessaires peuvent être collectées. Les entreprises doivent donc veiller à effectuer un tri pour ne pas traiter des informations jugées non pertinentes.

Il s’agit de la règle de droit qui autorise une organisation à réaliser le traitement d’une information. Ces dernières sont énumérées par le RGDP. Il peut par exemple s’agir du consentement de la personne concernée ou des nécessités liées à l’exécution d’un contrat.

Statuer sur la durée de conservation des données

Elle doit être limitée dans le temps et surtout proportionnelle à la finalité du traitement. Pour vous aider à déterminer vos durées de conservation, voici quelques exemples :

Données permettant la gestion de la paie : 5 ans (Article L3243-4 du Code du travail)
Données permettant de réaliser la gestion du personnel : 5 ans (Article R.1221-26 du Code du travail)
Données fiscales : 6 ans (Article L102 B du Livre des procédures fiscales)
Données de vidéosurveillance : 1 mois (Article L.252-3 du Code de la Sécurité intérieure)

Informer les personnes concernées et assurer le respect de leurs droits

Le RGPD accorde plusieurs droits essentiels aux personnes physiques concernées par les données. Il s’agit notamment du droit d’information, d’accès, de rectification, de suppression et d’objection au traitement. En tant que responsable du traitement, vous devez donc vous assurer du respect de l’ensemble de ces droits.

La sécurisation des données traitées

Si vous effectuez des traitements de données, vous devez tout mettre en œuvre techniquement pour assurer la sécurité de ces informations. Dans ce cadre, il convient de s’assurer du respect de trois grands principes : la confidentialité, l’intégrité et la disponibilité (ou l’accessibilité) permanente des données aux personnes autorisées.

SOURCES

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000020625846

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000031392972/

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041471233/

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043533727