• blogangle-right
  • Une checklist de conformité RGPD en 17 étapes pour protéger les données personnelles

Table of Contents

Une checklist de conformité RGPD en 17 étapes pour protéger les données personnelles

  • June 01, 2023

En 2015, l'Union Européenne a adopté le Règlement Général sur la Protection des Données (RGPD), remodelant la manière dont les organisations du monde entier peuvent recueillir et traiter les données personnelles. L'objectif du RGPD est clair : aider les consommateurs à comprendre et contrôler le type de données que les entreprises collectent, avec qui elles sont partagées et à quoi elles servent.

Le comment de la conformité au RGPD est un peu plus flou. La loi exige que les organisations prennent des mesures pour protéger les données personnelles et informer les utilisateurs de leurs droits en matière de confidentialité des données, mais ne précise pas quelles devraient être toutes ces mesures de protection. Bien que cette flexibilité soit censée permettre aux organisations d'adapter leur approche à leurs systèmes, processus et clients uniques, elle peut rendre difficile pour les entreprises de s'assurer qu'elles respectent la loi.

Pour aider à clarifier ce qui est nécessaire pour se conformer au RGPD, nous avons créé une checklist interactive que vous pouvez utiliser pour vérifier que vous avez mis en place les mesures de protection appropriées.

Qui doit se conformer au RGPD ?

La première question à poser est : les réglementations du RGPD s'appliquent-elles à votre organisation ?

Le RGPD est une loi sur la confidentialité des données qui donne aux citoyens et résidents de l'UE une meilleure compréhension et un meilleur contrôle sur les données personnelles que les organisations collectent et comment elles sont traitées.

Bien que le RGPD soit une législation de l'UE, il a des implications très étendues. Le RGPD s'applique à toute organisation qui collecte et traite des données personnelles de citoyens ou résidents de l'UE, même les entreprises situées en dehors de l'UE. Toute organisation ayant une présence mondiale doit chercher à être conforme au RGPD.

Lectures recommandées

Qu'est-ce que la conformité au RGPD ? Comprendre l'essentiel du RGPD

Un aperçu des exigences du RGPD

Le document d'origine du RGPD est assez long — 88 pages de texte juridique comprenant 99 articles et 173 considérants. Si vous souhaitez approfondir ce qui est nécessaire pour devenir conforme au RGPD, consultez notre article qui explique en détails les exigences du RGPD. Ici, nous résumerons l'essentiel avant de passer à la checklist de conformité.

1. Établir une base légale pour le traitement des données

Que votre organisation soit un processeur de données ou un contrôleur de données, elle doit avoir une base légale valide pour collecter et traiter les données personnelles. En vertu du RGPD, ces bases légales comprennent :  

  • Un sujet de données a donné librement un consentement clair et sans ambiguïté pour le traitement des données personnelles.
  • Le traitement des données est nécessaire pour remplir des obligations contractuelles ou légales.
  • Le traitement des données permettra de sauver la vie de quelqu'un.
  • Le traitement des données est dans l'intérêt public.
  • L'organisation a un « intérêt légitime » — en d'autres termes, chaque fois qu'une organisation utilise des données personnelles d'une manière à laquelle le sujet des données s'attendrait déjà. Par exemple, une institution financière qui analyse des données personnelles pour détecter et prévenir les transactions frauduleuses.  

Les organisations sont tenues de documenter leur base légale et de notifier les personnes concernées.

2. Obtenir le consentement explicite des personnes concernées

Les organisations qui utilisent le consentement d'une personne concernée comme base légale doivent être en mesure de prouver qu'elles ont obtenu ce consentement de manière équitable. Les personnes concernées doivent être pleinement informées de la manière dont vous traitez leurs données, et elles doivent accepter librement et sans ambiguïté le traitement des données personnelles.

En d'autres termes, vous êtes tenu d'expliquer aux personnes concernées comment vous traitez leurs données et leurs droits en matière de confidentialité des données en vertu du RGPD, en termes clairs et simples. De nombreuses organisations font cela à travers une notification de confidentialité qui est publiquement affichée sur leur site Web.

Vous ne pouvez pas contraindre ou tromper les utilisateurs pour qu'ils donnent leur consentement, et vous ne pouvez pas omettre des détails qui les empêchent d'exercer leurs droits en vertu du RGPD, tels que leur droit de s'opposer au traitement des données ou de demander l'effacement de leurs données personnelles.

3. Respecter les droits des personnes concernées

Les personnes concernées ont certains droits en vertu du RGPD que les organisations sont tenues de respecter. Ceux-ci comprennent :

  • Le droit d'être informé : Les personnes concernées doivent être informées de la manière dont vous traitez les données personnelles et dans quel but. Cette exigence s'applique même si les données sont transférées à un tiers. 
  • Le droit d'accès : Les personnes concernées ont le droit de savoir quelles données personnelles vous avez collectées à leur sujet, où et comment elles sont collectées, pourquoi elles sont traitées et combien de temps elles seront conservées. 
  • Le droit de rectification : Les personnes concernées ont le droit de corriger toute donnée personnelle inexacte ou incomplète. 
  • Le droit à l'effacement : Les personnes concernées peuvent demander la suppression de leurs informations personnelles. 
  • Le droit à la limitation du traitement : Dans certaines situations, les personnes concernées peuvent demander que vous modifiiez la manière dont vous traitez leurs informations personnelles. 
  • Le droit à la portabilité des données : Si une personne concernée demande ses données personnelles, vous devez les lui fournir gratuitement et dans un format facilement accessible.
  • Le droit d'opposition : Les personnes concernées peuvent s'opposer au traitement de leurs données personnelles. Vous devez honorer cette opposition à moins que vous ne puissiez prouver que vous avez une base légale pour leur traitement. 

4. Mettre en œuvre des mesures techniques et organisationnelles

Les organisations doivent établir des « mesures techniques et organisationnelles appropriées » pour garantir que toutes les données client traitées sont correctement sécurisées.

Le RGPD ne spécifie pas une liste exacte de mesures de sécurité, permettant aux organisations une certaine flexibilité dans la mise en place d'une posture de sécurité de l'information adaptée à leurs besoins uniques. Des exemples de contrôles de sécurité des données incluent l'authentification multifactorielle, le cryptage des données, les pare-feu, les contrôles d'accès des utilisateurs et la formation à la sensibilisation à la sécurité.

5. Envoyer des notifications de violation

En cas de violation de données, le RGPD exige que les organisations notifient les personnes concernées affectées dans les 72 heures (ou qu'elles aient une justification adéquate pour un retard).

Les notifications de violation doivent expliquer combien de personnes et de dossiers de données ont été affectés, les conséquences probables et ce que le responsable du traitement a fait pour atténuer les effets de la violation. Les notifications doivent également inclure le nom et les coordonnées du délégué à la protection des données de l'organisation.

6. Nommer un délégué à la protection des données (le cas échéant)

Les délégués à la protection des données (DPD) supervisent la stratégie globale de protection des données de l'organisation. Ils sont responsables de s'assurer que les employés sont formés aux exigences du RGPD, de réaliser des audits de conformité réguliers et de maintenir une documentation permettant de prouver la conformité.

Les délégués à la protection des données agissent également comme point de contact principal pour les autorités de surveillance et les personnes concernées. Si une personne concernée demande l'effacement de ses données personnelles, le délégué à la protection des données est tenu de répondre à cette demande dans un délai d'un mois calendrier. 

7. Concevoir avec la confidentialité à l'esprit

Les organisations doivent prendre en compte la confidentialité et la protection des données lors de la conception de tout nouveau produit ou service. À chaque étape du développement, les entreprises doivent limiter la collecte de données personnelles à ce qui est absolument nécessaire pour fournir le produit ou le service et détailler les étapes spécifiques qu'elles prendront pour protéger ces données. 

8. Réaliser une analyse d'impact sur la protection des données

Chaque fois qu'une personne concernée consent à la collecte ou au traitement de données, elle assume un certain niveau de risque. Ses données peuvent être volées ou divulguées lors d'une violation de données à caractère personnel et utilisées à des fins frauduleuses. Une évaluation d'impact sur la protection des données (DPIA) explique comment votre organisation identifie et minimise ces risques.

9. Restreindre les transferts de données personnelles

Le RGPD inclut des conditions strictes pour le transfert de données personnelles en dehors de l'UE. Lorsque les transferts de données sont autorisés, le RGPD exige que l'importateur et l'exportateur de données prennent les mesures appropriées pour protéger les données personnelles transférées.

10. Compléter régulièrement des formations sur la protection des données

Comme la législation RGPD est relativement complexe, des formations régulières sur la protection des données sont nécessaires pour aider les employés à gérer en toute sécurité différentes catégories de données personnelles. La formation RGPD doit expliquer ce qu'est la loi et où elle s'applique, les droits des personnes concernées, les responsabilités des responsables de traitement et des sous-traitants, et comment réagir à un incident de cybersécurité.

Lectures recommandées

Ce que vous devez savoir sur les exigences de conformité au RGPD en 2023 ?

Liste de contrôle RGPD : Évaluez l'approche de votre organisation en matière de protection des données

Pour vous aider à évaluer le niveau de conformité de votre organisation avec le RGPD, nous avons créé cette liste de contrôle interactive. Consultez les étapes ci-dessous pour vérifier que vous êtes entièrement conforme, ou pour identifier et remédier à d’éventuelles lacunes.

*Cette liste de contrôle est donnée à titre indicatif uniquement et ne constitue pas un substitut à un avis juridique. Consultez toujours un avocat pour vous assurer que votre organisation est pleinement conforme au RGPD.

GDPR Compliance Checklist

Comply with data processing requirements

Yes
No

Inform users of data privacy practices

Yes
No

Implement data security safeguards

Yes
No

Obtenez une confiance totale dans votre conformité au RGPD avec Secureframe

Nous simplifions le processus de conformité au RGPD. Obtenez une bibliothèque de politiques validées par des experts en RGPD, une formation propriétaire sur le RGPD pour les employés et un accès à des experts en conformité internes qui vous tiendront au courant des dernières réglementations RGPD. Vous aurez l'assurance d'une conformité totale au RGPD pour vous concentrer sur le service à vos clients et la croissance de votre entreprise.

En savoir plus sur notre offre de conformité au RGPD, ou programmez une démo pour voir notre plateforme d'automatisation de la conformité en action.

FAQ

Dois-je me conformer au RGPD ?

Si votre organisation collecte ou traite les informations personnelles de citoyens ou résidents de l'UE, elle doit être conforme au RGPD.

Quels sont les 7 principes du RGPD ?

L'article 5.1-2 du document RGPD énonce sept principes de protection et de responsabilité auxquels les organisations doivent se conformer lors du traitement des données personnelles. Ils sont :

  1. Légalité, équité et transparence : Le traitement des données doit être légal, équitable et transparent pour la personne concernée.
  2. Limitation des finalités : Le traitement des données doit être limité aux finalités explicitement déclarées à la personne concernée lors de la collecte.
  3. Minimisation des données : Les organisations ne peuvent traiter que la quantité de données absolument nécessaire aux finalités spécifiées.
  4. Exactitude : Les données personnelles doivent être exactes et mises à jour.
  5. Limitation de la conservation : Les données personnelles ne peuvent être conservées que le temps nécessaire à leur finalité spécifiée.
  6. Intégrité et confidentialité : Les données doivent être traitées de manière à assurer leur sécurité, leur intégrité et leur confidentialité.
  7. Responsabilité : Les responsables de traitement doivent démontrer que leurs activités de traitement des données sont conformes à tous ces principes du RGPD.

Quelles sont les pénalités pour non-conformité au RGPD ?

Les autorités de protection des données (APD) émettent deux niveaux de pénalités en cas de non-conformité au RGPD. Les violations moins graves entraînent des amendes allant jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial de l'entreprise de l'année financière précédente, selon le montant le plus élevé.

Le deuxième niveau de pénalités concerne les violations des principes fondamentaux du RGPD et peut entraîner des amendes allant jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial de l'entreprise de l'année financière précédente, selon le montant le plus élevé. Les personnes concernées par la violation ont également le droit de demander une indemnisation pour les dommages subis.

Qu'est-ce qu'un délégué à la protection des données ?

Les délégués à la protection des données supervisent la stratégie de protection des données de l'organisation et sa mise en œuvre. Les délégués à la protection des données servent également de principal point de contact pour les autorités de contrôle et les personnes concernées. Si une personne concernée s'enquiert du traitement de ses données ou soumet une demande d'effacement, le délégué à la protection des données doit répondre.

Quelles sont les différentes catégories de données personnelles ?

Le RGPD spécifie certaines 'catégories particulières de données personnelles'. Ces catégories comprennent des données sensibles nécessitant des niveaux de protection plus élevés :

  • Données raciales ou ethniques
  • Appartenance ou opinions politiques
  • Croyances religieuses
  • Appartenance à des syndicats
  • Données biométriques
  • Données de santé
  • Orientation ou activité sexuelle
  • Données génétiques

Qu'est-ce qu'un responsable de traitement par rapport à un sous-traitant ?

Le RGPD distingue entre un responsable de traitement et un sous-traitant, et toutes les organisations impliquées dans le traitement des données n'ont pas les mêmes responsabilités.

  • Responsables de traitement : La personne qui décide comment et pourquoi les données personnelles seront traitées. Exemple: Les employés de l'organisation qui gèrent ou manipulent les données.
  • Sous-traitants : Tout tiers qui traite des données personnelles pour le compte d'un responsable de traitement. Exemples : Fournisseurs de services cloud, fournisseurs de services de messagerie.