Un Cabinet - 3 Compétences

Le Règlement Général des Données Personnelles (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation) impose à toutes les entreprises de respecter une règlementation stricte quant au respect de la vie privée des individus. Il convient donc pour les sociétés de mettre en conformité leur organisme avec cette nouvelle exigence. Le cabinet LAZAREGUE AVOCATS vous apporte les solutions dont vous avez besoin.

Comment se mettre en conformité avec le RGPD ? La mise en conformité d’une société avec les exigences du RGPD se fait en cinq étapes.

DIAGNOSTIC

MISE EN OEUVRE

GESTION DES RISQUES

DPO

REGISTRE

Etape 1. Diagnostic de mise en conformité

Afin d’évaluer le niveau de l’entreprise au regard de la nouvelle réglementation, il doit être établi une cartographie des traitements des données personnelles effectués au sein de l’entreprise.

La cartographie des traitements consiste à:

  • Recenser chaque traitement des données personnelles;
  • S’assurer que les données traitées soient strictement nécessaires aux objectifs visées;
  • Identifier le fondement juridique des traitements;
  • Contrôler le respect des droits des personnes;
  • Contrôler le respect des règles de transfert international des données;
  • Contrôler la compatibilité de la sécurité informatique avec le RGPD;
  • Contrôler la conformité des contrats avec le RGPD;

Un rapport d’audit détaillé présentant les points de contrôle, le niveau de conformité, l’analyse des risques juridiques et les recommandations, est remis à votre société.

Etape 2. Mises en œuvre des actions à mener pour assurer la conformité au RGPD

Sur la base de cet audit, le cabinet sera en mesure de suivre un plan d’action par priorité afin de mettre la société en conformité avec le RGPD.

Les actions de mise en conformité avec le RGPD consistent notamment à:

  • Réviser les conditions générales de vente, d’utilisation, de confidentialité;
  • Insérer les clauses contractuelles adéquates en matière de protection des données;
  • Présenter les informations et les modalités d’exercice des droits des personnes;
  • S’assurer des mesures de sécurité informatiques recommandées par la CNIL;
  • Organiser le transfert des données en dehors de l’Union européenne.

Etape 3. La gestion des risques

Si des traitements de données sont susceptibles d’engendrer des risques élevés pour les droits des personnes, nous pourrons réaliser une analyse d’impact sur la protection des données (PIA) comme l’impose le RGPD.
Une analyse d’impact consiste à déterminer les mesures techniques et d’organisation appropriée pour protéger le traitement d’une donnée personnelle sensible. Elle garantit la conformité du traitement auprès des autorités de régulation.
Un PIA contient:

  • Une description du traitement étudié et de ses finalités;
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
  • Une évaluation des risques pour les droits et libertés des personnes concernées.

Etape 4. La mise en place d’un Délégué à la Protection des Données

Pour assurer la conformité permanente à la réglementation, la société doit désigner un Délégué à la Protection des Données qui peut être interne ou externe à la société.

Le cabinet LAZAREGUE AVOCATS peut être désigné Délégué à la Protection des Données de votre société.

Le Délégué à la Protection des Données aura pour mission:

  • D’assurer la conformité du traitement au RGPD dès sa conception (proportionnalité de la collecte de données au regard de la finalité, contrôle des cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données);
  • De sensibiliser et former vos salariés et de communiquer auprès de vos clients;
  • De traiter les réclamations des personnes concernées (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement);
  • D’anticiper les violations de données par la notification à l’autorité de régulation dans les 72 heures et aux personnes concernées dans les meilleurs délais.

Etape 5. Documenter la conformité par la tenue d’un registre des traitements

Pour prouver sa conformité au règlement, la société doit tenir un registre qui recensera les actions réalisées à chaque étape du traitement.

Le registre des traitements devra notamment comporter les éléments suivants:

  • Le recensement des traitements;
  • Les analyses d’impact sur la protection des données (PIA);
  • L’encadrement des transferts de données en dehors de l’Union européenne;
  • Les mentions d’information communiquées aux personnes concernées
  • Les modèles de recueil du consentement des personnes concernées
  • La définition des procédures mises en place pour l’exercice des droits des personnes concernées.

Contactez-nous