Comment être conforme au RGPD ?

Si vous êtes une entreprise ou une organisation qui collecte des données personnelles, il est difficile de savoir comment commencer à devenir conforme. Cependant, l’ignorance ne sera pas une défense viable. C’est pourquoi nous avons mis au point une liste de contrôle complète en 9 étapes pour vous aider à devenir conforme au RGPD.

1. Quelles données collecterez-vous ?

C’est la question fondamentale. Sachez quelles données vous avez besoin pour fournir le service indiqué. Mais rappelez-vous, selon le RGPD, vous ne devez collecter que les données personnelles essentielles aux fins indiquées.

Avant de collecter ces données, vous devez demander le consentement explicite de la personne concernée. Il peut s’agir d’un consentement écrit ou de la coche d’une case. Mais vous devez être en mesure de démontrer que le consentement a été donné.

De plus, le consentement ne devrait être donné qu’à une fin spécifique. Si les données doivent être utilisées à des fins multiples, un consentement éclairé et explicite doit être donné pour chacune. Vous devez également énoncer clairement les différents objectifs. La transparence est l’un des principes du RGPD.

2. Combien de temps conserverez-vous les données ?

Décidez combien de temps l’information sera nécessaire. En vertu du RGPD, les données ne peuvent pas être conservées plus longtemps que nécessaire. Par conséquent, définissez clairement à quel moment les données seront éliminées, comment et pourquoi.

Vous devrez également fournir un mécanisme par lequel une personne concernée peut annuler son consentement. Cela signifie que vous devrez supprimer leurs données personnelles.

3. Comment allez-vous stocker les données ?

L’un des objectifs fondamentaux du RGPD est de limiter les violations de données. Cela signifie que vous devrez réfléchir longuement à la façon dont les données sont stockées, en veillant à préserver leur intégrité et leur confidentialité.

En outre, conformément à l’article 33, vous êtes tenu d’informer l’Association de protection des données dans les 72 heures en cas de violation de données. Vous devrez également informer la personne concernée de la violation de données – en énumérant les données personnelles qui ont été exposées.

4. Quel âge la personne consent-elle?

En vertu du RGPD, seules les personnes âgées d’au moins 16 ans sont autorisées à consentir à la collecte de données personnelles. Par conséquent, si vous collectez des données personnelles sur des utilisateurs plus jeunes, vous ne serez pas conforme au RGPD et le consentement ne sera pas valide.

5. Nommer un délégué à la protection des données (DPD)

Selon le RGPD, une organisation doit nommer un DPD pour l’un des éléments suivants :

– Si les données sont traitées par une autorité publique
– Si les données collectées font l’objet d’un suivi systématique
– Si les données collectées sont traitées à grande échelle

Il y a clairement une ambiguïté ici – car le RGPD ne définit pas la taille d’une échelle. Par conséquent, il est souvent judicieux de nommer un DPD pour superviser votre stratégie de protection des données, quelle que soit l’ampleur de votre collecte de données personnelles.

6. Tenez un journal RGPD

Ici, il serait préférable que vous documentiez comment votre organisation pratique la conformité au RGPD. Cela inclut la cartographie des flux de données au sein de votre organisation, de toutes les sources de données et de la manière dont vous atténuez le risque de violation de données.

Il fournit également une couverture si votre organisation subit une violation de données pendant qu’elle met en œuvre son cadre de conformité.

7. Double opt-in pour les nouvelles inscriptions à la liste de diffusion

Oui. Pour toute personne qui s’inscrit à votre liste de diffusion, incluez un processus de double opt-in. Cela signifie qu’ils doivent confirmer leur consentement deux fois. La première se produit lorsque le formulaire d’inscription est rempli. Le deuxième consentement se produit lorsque l’utilisateur clique sur le lien de confirmation envoyé automatiquement après l’achèvement du formulaire d’inscription.

Bien que le RGPD ne spécifie pas les inscriptions obligatoires à double opt-in, il s’agit de la norme élevée actuelle en matière de protection des données et de consentement.

8. Rédiger ou mettre à jour votre politique de confidentialité

Dans une politique de confidentialité, une organisation doit indiquer clairement quelles données personnelles sont collectées et comment elles seront utilisées. Il doit toujours être à jour et disponible sur le site Web de l’organisation.

9. Évaluer régulièrement les risques liés aux tiers

Être conforme au RGPD ne signifie pas seulement garder votre maison en ordre. Il fait également référence au risque de données présenté par des tiers. Ici, les données peuvent être partagées entre les organisations. Cela nécessite une sensibilisation continue aux risques de sécurité, avec des efforts de correction en place.

Bien qu’aucun système ne puisse être 100 % sans risque, il est essentiel d’évaluer régulièrement les risques potentiels pour la sécurité. Vous voudrez enregistrer vos conclusions et vos actions dans le journal RGPD.