RGPD acte II : que dois-je faire ?

Publié le 7 Oct, 2019

Précédemment dans RGPD ACTE I…Vous savez désormais si vous êtes concerné par le RGPD et quelle est la logique à adopter pour vous mettre en conformité avec les nouvelles règles applicables. C’est très bien nous direz-vous ! Mais vous vous demandez très certainement ce que vous devez faire concrètement. C’est parti !

La base : recenser vos potentiels traitements de données personnelles

La première chose à faire est de procéder à un recensement de vos potentiels traitements de données personnelles.

Pour cela, vous devez tout d’abord identifier toutes vos activités susceptibles d’engendrer un traitement de données personnelles.

Par exemple, si vous êtes boulanger, vous prenez sans doute des commandes clients ? Et à ce titre, vous collectez peut-être les nom, prénom, adresse ou encore date d’anniversaire de vos clients ? Notez votre activité « prise de commandes » ou peut être plus largement « vente ».

Pour chacune des activités recensées, vous devez ensuite :

Noter le type de données que vous traitez

Dans notre exemple, nous avions évoqué les noms, prénoms, adresse ou encore la date d’anniversaire de vos clients. Notez-le !

Identifier les données traitées dites sensibles (données relatives à la santé ou aux affinités politiques par exemple…).

Notre boulanger sera peu enclin à collecter de telles données mais sait-on jamais !

Noter l’objectif poursuivi

Pour notre boulanger il s’agira sûrement de fidéliser ses clients.

Noter la durée de conservation des données – il faut entendre par là, la durée d’utilisation des données – qui ensuite seront supprimées, archivées ou anonymisées. Cette durée d’utilisation doit être au maximum égale au temps nécessaire à l’accomplissement de la finalité déterminée précédemment (attention certains textes imposent des durées spécifiques).
Noter les personnes qui ont accès à ces données

Dans notre exemple, on peut imaginer que notre boulanger a 3 salariés qui peuvent accéder à ce fichier client.

Noter les modalités de stockage de ces données et le lieu de stockage

Notre boulanger va peut-être consigner les données collectées dans un fichier excel, lui-même stocké sur un cloud ou drive, lui-même hébergé dans un pays étranger comme les USA.

Enfin, noter les mesures de sécurité mises en œuvre pour protéger au mieux les données traitées

C’est sans doute le point le plus délicat pour Monsieur tout le monde ! En général les données numériques sont stockées sur le disque dur de plus en plus souvent synchronisé avec un cloud. Et l’effort s’arrête là…Alors comment sécuriser ses données ? Essayez déjà dans un premier temps de justifier de l’existence de certaines protections communes (par exemple, un anti-virus à jour).

Vous avez terminé de noter tout cela ? Félicitations vous venez de réaliser votre registre des données personnelles ! Ce n’est pas toujours une obligation légale, mais la CNIL recommande fortement sa réalisation quelle que soit votre situation.

Une fois le recensement effectué vous allez devoir mettre en œuvre plusieurs actions. En voici les principales.

La suite : les principales actions à mettre en place

Optimiser le traitement des données collectées

A partir du registre précédemment constitué, vous allez pouvoir identifier vos points faibles (par exemple, vous vous rendez compte que trop de personnes ont accès à votre ordinateur qui contient les données traitées) et incidemment les actions à mettre en œuvre pour vous mettre en conformité avec la règlementation, voire même établir des analyses d’impact.

Communiquer avec les personnes concernées

Le RGPD renforce l’obligation d’information des personnes concernées par vos traitements. C’est notamment pour cela que lorsque vous visitez un site web concerné par le RGPD, vous êtes invité à accepter les modalités de traitement des données.

Pensez aussi à mettre à jour vos documents contractuels et notamment vos Conditions Générales de Vente ! C’est un excellent moyen de justifier que l’information a été communiquée !

Vous pouvez désigner un Délégué à la Protection des Données

Le rôle de ce DPD (plus connu sous l’acronyme anglophone DPO) sera de piloter votre politique interne de gestion des traitements de données personnelles.

Documenter votre conformité RGPD !

En cas de contrôle, vous serez invité à justifier de votre conformité : constituez-vous une documentation ! C’est la logique RGPD.

Parmi ces documents, citons toujours le registre des traitements (la base !), les analyses d’impact, mais aussi le recueil de consentement des personnes concernées par vos traitements ou encore un ensemble de procédures internes détaillant l’organisation de votre politique RGPD.

Vous voilà prêt à commencer votre mise à niveau RGPD ! Attention tout de même : il existe de nombreuses obligations particulières pour certains types de situation (selon les données, la qualité de celui qui fait le traitement etc.). Et attention aux sanctions !

Pour plus de tranquillité et de sécurité, faites-vous accompagner par un professionnel. Les avocats de STRATEGIA peuvent vous accompagner dans votre conformité RGPD.

Vous souhaitez nous consulter ?

STRATEGIA est un cabinet d’avocats qui accompagne principalement les entreprises en droit des sociétés, droit commercial, droit fiscal et droit social. Le Cabinet accompagne également les particuliers dans les contentieux du travail et de la sécurité sociale. Vous souhaitez prendre rendez-vous pour une consultation ? Contactez-nous par téléphone ou par le formulaire de contact de notre site internet : nous nous engageons à revenir vers vous le plus rapidement possible.

Contactez-nous

Divorce du dirigeant d’entreprise : comment est évaluée la prestation compensatoire ?

Lorsqu'un dirigeant d'entreprise divorce, l'une des questions les plus complexes à résoudre est celle de la prestation compensatoire. Cette prestation, qui vise à compenser la disparité des niveaux de vie entre les ex-époux, prend une dimension particulière lorsque...

La rémunération du dirigeant sous le régime de la communauté : enjeux, stratégies, et perspectives

Dans le monde des affaires familiales, la gestion de la rémunération d'un dirigeant marié sous le régime de la communauté de biens représente un défi de taille. Les revenus générés par ce dernier, qu'ils proviennent de salaires, dividendes ou autres formes de...

Les risques de la séparation pour le dirigeant : protéger son patrimoine par la structuration sociétaire

Assurer la pérennité de son entreprise tout en protégeant son patrimoine relève du défi pour tout dirigeant qui est engagé dans un régime matrimonial. L'équilibre est dur à trouver surtout lorsque les liens sont encore forts. Les aléas de la vie personnelle et des...

Le présent article est publié à des fins d’information du public. Il n’a pas vocation à être exhaustif et il ne constitue aucunement une consultation personnalisée. Nous ne pouvons pas garantir son application à votre situation. Nous alertons en effet nos lecteurs que la législation est en évolution permanente et qu’un article généraliste ne saurait remplacer une consultation personnalisée parfaitement conforme à la législation en vigueur au jour de la survenance de votre besoin. Pour une réponse/solution personnalisée à toute question/problème nous vous invitons à nous interroger directement en nous contactant par le biais de notre formulaire de contact.

Avocats à Toulouse en droit des affaires, droit fiscal et droit social