ÉTAPE 1 : Examinez si votre entreprise traite des données à caractère personnel.
Selon le RGPD, les données à caractère personnel sont « toutes les informations concernant une personne physique identifiée ou identifiable ». Il sagit donc de toutes les données permettant didentifier une personne. Si votre entreprise traite des données de personnes physiques permettant ainsi didentifier (in)directement celles-ci, votre entreprise traite donc des données à caractère personnel.ÉTAPE 2 : Établissez un registre des activités de traitement.
Pour être en conformité avec le RGPD, votre entreprise doit satisfaire à cinq règles générales et à la responsabilité y afférente. Il s'agit des règles suivantes : (1) la limitation de la finalité, (2) lexactitude, (3) la transparence, (4) la minimisation des données et la limitation de la conservation, ainsi que (5) lintégrité et la confidentialité. Afin de respecter ces règles, vous êtes tenu(e) détablir un registre des activités de traitement.ÉTAPE 3 : Communiquez et veillez à permettre à la personne concernée dexercer ses droits.
Établissez une déclaration de confidentialité indiquant en toute transparence les données qui sont traitées et pour quels motifs. Indiquez aussi les droits que la personne concernée, ou la personne dont vous recueillez des données, peut exercer.ÉTAPE 4 : Fixez le fondement légal des activités de traitement.
Une entreprise ne peut traiter des données à caractère personnel que pour lun des motifs suivants :- Lautorisation de traiter des données ;
- Un contrat ;- Une obligation légale ;
- Un intérêt vital ;
- Lintérêt général / Lautorité publique ;
- Lintérêt légitime.
ÉTAPE 5 : Sil est requis, veillez à obtenir le consentement explicite de la personne concernée.
Selon le RGPD, le consentement dune personne concernée doit toujours résulter dun acte positif clair dont il ressort que la personne en question accepte librement, spécifiquement, de manière éclairée et univoque que des données à caractère personnel la concernant fassent l'objet d'un traitement. Par ailleurs, la personne concernée doit également pouvoir retirer son consentement aisément.ÉTAPE 6 : Prenez les mesures de sécurité nécessaires et signalez les fuites de données en temps utile.
Il est important de prendre les mesures de sécurité nécessaires en vue de protéger les données à caractère personnel. Si une fuite de données se produisait néanmoins, il vous incomberait de le communiquer le plus rapidement possible à lautorité compétente.ÉTAPE 7 : Intégrez dès le départ la protection des données (DPIA).
Veillez à intégrer, dès le début de lactivité de traitement, un système de protection des données. Partez toujours dune approche basée sur les risques et procédez, si nécessaire, à une Analyse dImpact relative à la Protection des Données (AIPD), également connue sous le terme d'analyse dimpact.ÉTAPE 8 : Le cas échéant, désignez un délégué à la protection des données (DPO).
Désignez un Data Protection Officer (DPO) ou Délégué à la Protection des Données, lorsque la loi le prescrit. À défaut, nous vous conseillons néanmoins de désigner un responsable, qui se chargera de la protection des données à caractère personnel.ÉTAPE 9 : Tenez compte de léchange international de données à caractère personnel.
Vous exercez également votre activité au niveau international ? Veillez dans ce cas à obtenir les garanties nécessaires, lorsque vous transmettez des données à des pays tiers.ÉTAPE 10 : Établissez un contrat de sous-traitance.
Établissez un contrat avec le sous-traitant. Lorsque les données sont traitées par une autre entité, il est important détablir un contrat de sous-traitance indiquant clairement qui est responsable de quoi.Source : Vandelanotte
