La Check-list GDPR en 10 étapes de Légal PME.

Depuis la fin de la période transitoire de mise en ordre des entreprises au regard du RGPD (Règlement général relatif à la protection des données) en mai 2018, les entreprises tentent de se mettre en ordre au niveau du traitement des données à caractères personnel. Chaque entreprise doit donc vérifier sa conformité au regard du GDPR.

Un an après son application, les entreprises ne sont pas toutes en ordre.

Afin de vous aider à vérifier la mise en conformité, Légal PME vous propose une check-list GDPR en 10 étapes.

1 – Quelles données à caractère personnel ?

Dans un premier temps, l’entreprise doit identifier les données à caractère personnel qu’elle traite, ainsi que l’objectif du traitement. Il peut s’agir, par exemple, du suivi et de la conservation des CV, des données salariales en vue du traitement des salaires, des données des fournisseurs, sous-traitants, ou clients dans le cadre de l’exercice de l’activité, de la comptabilité, etc.

Il convient également de prendre en compte la vidéosurveillance et les systèmes de géolocalisation (tracking ou badging) éventuels, qui relève également de cette législation.

2 – La politique de vie privée

Lorsque l’entreprise dispose d’un site Internet, des conditions d’utilisation ainsi qu’une politique relative à la gestion des données devraient, idéalement, y figurer.

Si celles-ci sont déjà existantes, elles doivent être adaptées, et, le plus important, vérifiées. Surtout, il faudra y reprendre

  • la manière dont l’accès aux données à caractère personnel est sécurisé
  • la manière dont une personne peut accéder à ses données ou demander la suppression de celles-ci
  • les droits dont disposent la personne concernée
  • l’utilisation qui est faite des données.

Et si l’entreprise envoie une newsletter, il convient également de vérifier différentes choses, comme

  • la base sur laquelle celle-ci est envoyée
  • la manière de récolter les adresses
  • la manière dont sont informées les personnes de la possibilité, le cas échéant, de se désinscrire de la liste d’envoi.

3 – Centralisation des données auprès d’une personne unique

Au sein de l’entreprise, une personne unique en charge des différents aspects liés à la protection de la vie privée doit être désignée.

Il convient toutefois de vérifier que cette personne a reçu une formation adéquate, lui permettant de répondre à toute sorte de demande, émanant aussi bien des clients ou des fournisseurs, que des travailleurs.

La personne ressource doit également pouvoir faire face à diverses requêtes comme les demandes de :

  • rectification
  • suppression
  • transmission
  • contrôles

Les contrôles concernent toutes les entreprises sans exception. Les responsables du traitement doivent donc respectés toutes les règles et principes imposés par le RGPD .

4 – Le registre des traitements des données personnelles

Dans ce registre sont repris toutes les actions effectuées par l’entreprise et liées aux données personnelles détenues, de quelque nature que ce soit.

Ce registre reprend, notamment, la durée de conservation de chaque donnée, le destinataire des données, les catégories de données personnelles visées, la finalité du traitement, le fondement légal du traitement, etc.

5 – Informer et sensibiliser en interne

Les règles relatives à la vie privée et au GDPR doivent être assimilées par chacune des personnes de l’entreprise : dirigeants, travailleurs, freelances, etc.

Une « mini-formation » interne, ou sur base de documentation établie par un juriste est pertinente, voire fortement utile.

Check-list GDPR

6 – Délais des réponses

Il convient d’établir des procédures internes afin de pouvoir répondre dans les délais requis aux différentes demandes telles le droit d’accès, de rectification, d’effacement, etc.

7 – Procédure en cas de pertes, vols ou fuites de données

Une fuite de données concerne, par exemple,

  • la perte ou le vol d’un ordinateur portable, d’une clé USB ou d’un smartphone, contenant une base de données des clients à caractère personnel non sécurisé ou peu sécurisé ;
  • une cyberattaque par un rançongiciel bloquant le système informatique de l’entreprise ;
  • le cryptage de données à caractère personnel par le responsable du traitement, mais ayant perdu la clé et donc dans l’incapacité de les décrypter ;
  • une coupure de courant importante bloquant l’accès aux serveurs, etc.

Une liste des actions à avoir en cas de de pertes, vols ou fuites de données, de manière facilement accessible, et ce, à tout moment doit être tenue au sein de l’entreprise.

Les informations reprises ci-dessous sont utiles et doivent y être reprises, pour plus de facilité et de suivi :

  • notification à l’autorité compétente (Autorité de Protection des Données (APD)) ;
  • notification à la personne physique concernée ;
  • mentions détaillées de la notification ;
  • responsabilité et registre.

Sous réserve de certaines conditions, la communication de la fuite des données auprès de l’APD doit avoir lieu

  • soit immédiatement
  • ou soit endéans les 72 heures.

8 – Avenant aux contrats des sous-traitants spécifique au RGPD

Lorsqu’un sous-traitant traite les données à caractère personnel d’une autre entreprise, cette dernière établie un avenant aux contrats qui la lie au sous-traitant. Cet avenant reprendra les différentes mentions concernant le RGPD. En outre, il est une preuve de votre mise en conformité envers le RGPD et vos différents partenaires.

L’avenant balise également :

  • les données traitées par le sous-traitant
  • l’objectif du traitement
  • les responsabilités du sous-traitant en la matière.

9 – La sécurité

L’entreprise doit penser à la protection de ses ordinateurs, serveurs, mails, etc.

Comment ?

Par mot de passe, connexion cryptée (certificat SSL, sécurité de communication), logiciel pare-feu (firewall), logiciel anti-virus.

Sans oublier la protection physique et les contrôles d’accès des locaux.

10 – Les états membres

Chaque État membre peut fixer d’autres règles pour le traitement des données à caractère personnel dans le cadre de la relation de travail. Comment ? Par le biais de la loi ou d’une convention collective. Les entreprises qui ont des établissements situés dans différents États membres, doivent respecter toute éventuelle réglementation nationale spécifique en la matière.

En tant qu’entreprise, vous êtes en relation avec des prestataires de services situés au sein de l’Union Européenne ? En-dehors ? Avez-vous pensé à vérifier leur mise en conformité ? Ou, au contraire, vous n’avez pas encore mis en place les éléments imposés par le RGPD ?

Si, en tant qu’employeur, je constate que ma Check-list GDPR en 10 étapes me montre des failles au sein du traitement à caractère personnel de mon entreprise, je prends contact avec Légal PME pour une mise en conformité complète de mon entreprise et un accompagnement pas un juriste qualifié en la matière.

Allons-y !Allons-y !

Et pour être tenu au courant des actualités transmises par Légal PME, inscrivez-vous à la newsletter : un condensé bimensuel d’articles pratiques à destination des entreprises !

Je m'inscris !Je m'inscris !

→ Articles similaires de Légal PME :