Avec l'arrivée du Règlement européen sur la protection des données personnelles (RGPD), vous n'aurez plus à déclarer vos fichiers auprès de la Cnil. En contrepartie, votre responsabilité va être renforcée dans le cadre du traitement des données de vos clients. Vous devrez, à partir du 25 mai prochain, assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Pour y arriver, suivez ces 6 étapes !
Etape 1 : Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre magasin, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. Il constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux. Il est principalement chargé :
- d’informer et de conseiller le responsable de traitement ainsi que les différents collaborateurs ;
- de contrôler le respect du règlement et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Etape 2 : Cartographier vos traitements de données
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L'élaboration d'un registre des traitements vous permet de faire le point. Pour chaque traitement de données personnelles, posez-vous les questions suivantes : Qui ? Quoi ? Pourquoi ? Où ? Jusqu'à quand ? Comment ?
Etape 3 : Prioriser les actions à mener
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.
Etape 4 : Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA). La Cnil a élaboré une méthode et un catalogue de bonnes pratiques qui vous aident à mener un PIA et déterminer les mesures proportionnées aux risques identifiés.
Etape 5 : Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en considération l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Etape 6 : Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. Votre dossier devra notamment comporter les éléments suivants :
- le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) ;
- les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes ;
- les modèles de recueil du consentement des personnes concernées ;
- les procédures mises en place pour l'exercice des droits ;
- les contrats avec les sous-traitants ;
- les procédures internes en cas de violations de données ;
- les preuves que les personnes concernées ont donné leur consentement.
rien que de lire les différente étapes je laisse tomber