close up hand of  Business man busy at office desk  on  Notebook and documents  working  , business concept

Le principe d’accountability renforcé par le RGPD impose désormais aux entreprises et autres organismes d’être en mesure de démontrer leur conformité à la réglementation protectrice des données personnelles. Ainsi, l’ensemble des pratiques et autres modes de fonctionnement se doivent d’être formalisés dans des documents à diffuser auprès de l’ensemble de vos collaborateurs. Vous devrez par ailleurs en assurer le respect.

Concrètement, le respect du principe d’accountabilty suppose la mise en l’adoption de politiques et procédures, ainsi que la mise en place d’outils projets qui concourent tous à garantir une protection optimale des données personnelles que vous traitez dans le cadre de votre activité.

POLITIQUE

Politique générale de protection des données personnelles :

La politique générale de protection des données personnelles vous permet de communiquer sur les mesures que vous avez mises en oeuvre pour garantir un protection élevée et adéquate des données personnelles que vous traitez.

Politique RH de protection des données personnelles :

Politique RH de protection des données personnelles vous permet d’informer de façon claire et précise vos salariés et candidats à l’embauche sur : les raisons de la collecte, les durées et modalités de conservations, la communication éventuelle à des tiers, etc. de leurs données. Cette information pouvant être faite via le règlement intérieur, le contrat de travail ou même le site internet de l’entreprise.

Politique spécifique de gestion des modalités de conservation des données personnelles :

La conservation de données personnelles pour une durée indéfinie est interdite. Cette politique vous permet ainsi de déterminer les modalités (environnement, durée, etc.) de conservation des données personnelles en fonction de l’objectif du traitement encore appelé finalité.

Politique de transfert des données des données intra-groupe :

Politique de transfert des données des données intra-groupe concerne les entreprises disposant de filiales en dehors de l’Espace Économique Européen (EEE). Elle décrit les standards fixés au niveau groupe, applicables de façon contraignante par l’ensemble des filiales, afin de maintenir un niveau élevé et homogène de protection des données personnelles.

PROCEDURES

Procédure de protection des données personnelles :

Alors que la politique de protection des données personnelles a une vision globale, la procédure vient préciser concrètement le processus mis en place pour assurer la protection des données personnelles dans votre entreprise.

Procédure de gestion des droits des personnes :

En tant qu’organisme, vous devez informer les personnes dont vous traitez les données, des droits dont elles disposent, et des modalités d’exercice desdits droits. Cette procédure vous permet de traiter les demandes d’exercice de droits, dans les formes prévues et délais impartis.

Procédure de gestion des violations de données personnelles :

Une violation de donnée personnelles est tout incident de sécurité portant atteinte à la disponibilité, l’intégrité ou la confidentialité des telles données. Il vous appartient de mettre en place des mesures afin de prévenir de la survenance de ces violations, mais également de réagir efficacement en cas d’incident.

Procédure en cas de contrôle d’une autorité de protection :

L’une des missions des autorités de protection des données est d’effectuer des contrôles afin de vérifier votre conformité au règlement. Disposer d’une procédure vous permettrait de vous préparer à cette éventualité, et de coopérer efficacement lors du contrôle.

OUTILS PROJETS

Schéma directeur de mise en conformité :

Dans le cadre de votre démarche conformité, un audit est indispensable, afin de mesurer vos écarts de conformité et établir une feuille de route, ou schéma directeur. Il vous permet d’avoir une d’ensemble sur les projets à mener, avec une priorisation des actions.

Registre :

Le principe de responsabilisation ou d’accountability vous impose de démontrer le respect des obligations en matière de protection des données personnelles. La tenue de registres est alors nécessaire pour remplir cette obligation. Il s’agit notamment du registre des activités de traitements, du registre de sous-traitant, ou encore du registre des violations de données personnelles.

Fichier d’évaluation de la protection des données dès la conception et par défaut :

Tout nouveau projet doit intégrer dès le stade même de sa conception et par défaut, les règles de protection des données personnelles. Ce fichier vous y accompagne

Fiche réflexe gestion des violations de données personnelles :

En complément de la procédure de gestion des violations de données personnelles, la fiche réflexe reprend de façon chronologique et synthétique les actions à prendre lorsque survient une violation de données. Étant donné le court délai de notification des violations de données personnelles, cette fiche vous permet d’accomplir les bonnes actions au bon moment, pour plus d’efficacité.

Catalogue IT de mesures de conformité :

Parce que la grande majorité des violations de données personnelles se produisent sur l’environnement numérique, nous vous proposons un catalogue de mesures informatiques permettant d’assurer et renforcer la sécurité des données personnelles que vous traitez.

Besoin d'information?