Sélectionner une page

À première vue, cela semble compliqué, c’est pourquoi on est là pour régler les choses.

Voici une courte liste de conseils sur ce que vous devez faire pour vous conformer aux règles du 25 mai 2018, jour où la nouvelle réglementation est entrée en vigueur. Donc, si vous êtes impliqué dans le traitement de données personnelles, devenez conforme à la RGPD ou arrêtez complètement. Les pénalités pour non-conformité sont énormes et pourraient vous coûter entre 20 millions d’euros et 4 % de votre chiffre d’affaires annuel.

Cependant, restez calme et continuez à lire, car une bonne préparation vous permettra d’éviter les amendes.

Liste de contrôle de la conformité à la RGPD

1. Désignation d’un DPD

Cela est nécessaire pour les autorités publiques et les entreprises dont l’activité principale est le traitement des données et le contrôle régulier des données. Cette personne doit contrôler s’il existe des conflits d’intérêts et si les données personnelles sont traitées dans le respect de la loi. Sans spécialiste, vous risquez d’être submergé par le nombre de réglementations et de commettre une erreur.

À FAIRE : Assurez-vous que votre DPD travaille en étroite collaboration avec chaque équipe responsable de la collecte et du traitement des données. Les meilleurs résultats sont obtenus par un travail d’équipe.

2. Transparence.

Un responsable du traitement des données doit informer le propriétaire des données à caractère personnel sur la nature des données collectées et sur leur finalité. Les entreprises doivent recevoir un consentement clair pour le traitement ultérieur des données. Pour cette raison, les entreprises conformes au RGPD doivent utiliser un langage simple et clair lors de la création des accords d’utilisation et inclure des cases à cocher non marquées. Si des données sont requises pour des enfants de moins de 16 ans, vous devrez demander l’accord des parents.

À FAIRE : Vérifiez votre accord d’utilisation. Est-il facile à comprendre pour vos clients ? Leur fournit-il des informations sur la protection de leurs données personnelles et de leurs droits numériques ? Veuillez noter qu’il peut/vaudra être vérifié par une autorité de contrôle.

3. Consentement explicite.

Ce point est l’un des plus importants de notre liste de contrôle de la conformité au RGPD. Le consentement explicite diffère des accords d’utilisation ordinaires, ils sont plus détaillés et concernent des données personnelles sensibles telles que les opinions religieuses et politiques, l’orientation sexuelle, etc. Il est essentiel que chaque point soit écrit séparément avec sa propre case à cocher, car un client doit accepter de vous fournir chaque donnée.

À FAIRE : Inscrivez chaque point sur des lignes séparées, suivies de cases à cocher expliquant pourquoi vous avez besoin de ces informations de la part de votre client.

4. Suivi de l’utilisation des données.

Les clients doivent s’assurer que les données collectées peuvent être gérées, corrigées, utilisées ou supprimées. Les entreprises doivent fournir leurs données aux résidents de l’UE, les examiner et/ou les rejeter à la demande d’un client. Il peut également être nécessaire d’expliquer aux clients les détails de l’utilisation de leurs données personnelles.

À FAIRE : Vérifiez si vous pouvez fournir ces informations aux personnes de manière simple. Assurez-vous que les clients peuvent demander à modifier ou à supprimer leurs données et que cela peut être fait rapidement.

5. Utiliser des clauses standard de protection des données.

Selon la Commission européenne, il s’agit d’un contrat hybride d’importation et d’exportation. Il s’agit de clauses qui expliquent ce qu’il advient des données après qu’une entreprise les a importées ou exportées. Un accord sur la protection des données personnelles (PDP) est signé lorsqu’un transfert de données entre des objets de l’UE et des objets hors UE a lieu. La législation couvre l’ensemble de la zone UE, et pas seulement l’UE, comme il est écrit sur le site officiel du RGPD. Si vous transférez des données en dehors de l’EEE, vous devez signer cet accord.

À FAIRE : Comme mentionné précédemment, les entreprises doivent signer les clauses de protection des données si elles transfèrent des données en dehors de l’EEE. Toutefois, il est préférable de signer les accords RGPD avec chaque client.

6. Engager un représentant de l’UE.

Les entreprises opérant en dehors de l’UE doivent avoir un représentant dans le pays où elles opèrent. Ce représentant doit être physiquement présent dans l’UE et consulter l’entreprise pour toutes les questions relatives au RGPD. La principale différence entre un DPD et un représentant de l’UE est leur localisation. Par exemple, un DPD peut être situé en dehors de l’UE, mais un représentant doit résider dans l’UE.

À FAIRE : Si votre entreprise est située en dehors de l’UE, recherchez un représentant de l’UE et engagez-le. Demandez à votre représentant de l’UE de vous aider.

Le résultat final

Notre check-list de conformité aux normes RGPD est une version abrégée des principales dispositions légales des nouveaux règlements. Quant à la liste détaillée des actions, il n’existe pas de solution universelle, car chaque entreprise a ses spécificités, sa comptabilité et a besoin d’un DPD pour la gérer.

Les approches en matière de stockage et de traitement des données varient d’une entreprise à l’autre, car chaque entreprise a besoin de différents types de données à caractère personnel pour des périodes différentes.