Documentation

Quelles sont les actions à mener pour une mise en conformité RGPD ?

Ces actions doivent perdurer dans le temps pour être efficaces

Tri des données collectées et stockées

Pour chaque fiche de registre créée, vérifiez :

• Que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique).
• Que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter.
• Que seules les personnes habilitées ont accès aux données dont elles ont besoin.
• Que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

À cette occasion, améliorez vos pratiques !

Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles.

Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise.

Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

Respecter les droits des personnes

Informez les personnes À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte notamment les éléments suivants :

• Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur).
• Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »).
• Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.).
• Combien de temps vous les conservez (exemple : 5 ans après la fin de la relation contractuelle).
• Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié).
• Si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).
• Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur votre site internet.

À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

Permettre aux personnes d’exercer facilement leurs droits

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits.

Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum)

Bonne pratique : La réactivité !

Bien traiter les demandes des consommateurs quant à leurs données personnelles, c’est :

Renforcer la confiance qui sécurise la relation-client.

Vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.