RGPD (3/3) : Mise en conformité

Après avoir vu les principes du RGPD (voir article 1/3), et ce que change ce règlement dans les organisations (voir article 2/3), voici sur les grandes lignes d’un projet de mise en conformité de votre organisation avec le RGPD.

Designer les responsables

La première étape consiste à nommer les responsables de la conformité au règlement. Il s’agit en général d’un binôme : Le « responsable des traitements » est en général le directeur du service concerné, ou le directeur général de l’organisation. Il valide la stratégie, définit les priorités, prend les décisions. Le « Délégué à la protection des données » lui est subordonné. Il exécute les opérations, rend compte des résultats et des progrès, suggère la marche à suivre. Ce DPD peut être une personne morale externe (voir à ce sujet notre offre de DPD externalisé).

Communiquer sur le projet

La communication sur la conformité de la structure est l’un des grands bénéfices à tirer de l’opération. Cela permet de renforcer sa fiabilité et sa crédibilité envers les fournisseurs, clients, partenaires, institutions en relation avec elle. Affichage dans les locaux, mentions sur le site internet (notamment sur l’utilisation des cookies et dans les mentions légales), sont les principaux canaux de communication utilisés.

Traitement des données

La manipulation de données personnelles doit respecter quelques règles, qui procèdent du bon sens : La personne concernée doit donner son consentement éclairé sur le traitement qui le concerne. Les données doivent être minimalisées, en fonction de l’objectif poursuivi. Par exemple, un service du personnel qui collecte à l’embauche les permis de conduire des salariés, en vue de l’utilisation des véhicules de l’entreprise, devrait restreindre cette collecte aux seuls salariés dont la définition de poste contient des déplacements. Quand la donnée doit être conservée, son intégrité doit être assurée (donc sauvegardée). En particulier, un registre des incidents doit être tenu à jour. Au moment où elle doit être détruite, elle doit l’être réellement et irrévocablement.

 

Vous voulez une vision plus détaillée du RGPD ? Contactez-nous !