Les bases en 5 etapes
Vous n’avez pas besoin d’engager un avocat specialise pour devenir conforme au RGPD. La plupart des PME peuvent gerer les bases elles-memes une fois qu’elles savent ce qui est necessaire. Voici les cinq etapes, par ordre de priorite.
Etape 1 : Registre des traitements
Quoi : un apercu de toutes les activites dans lesquelles vous traitez des donnees personnelles.
Pourquoi : l’autorite de controle peut le demander a tout moment. C’est aussi votre propre reference - si vous ne savez pas quelles donnees vous traitez, vous ne pouvez pas gerer correctement le reste.
Ce qu’il doit contenir par activite :
- La finalite du traitement
- Les categories de donnees personnelles
- Les categories de personnes concernees
- Les destinataires des donnees
- La duree de conservation
- Les mesures de securite
Etape 2 : Politique de confidentialite
Quoi : un document expliquant aux clients, visiteurs du site et employes comment vous traitez leurs donnees personnelles.
Pourquoi : c’est votre obligation legale d’information. Toute personne dont vous traitez les donnees a droit a cette information.
Ce dont vous avez besoin :
- Une politique de confidentialite sur le site web (lien dans le pied de page de chaque page)
- Une politique de confidentialite interne pour les employes
Ne copiez jamais une politique de confidentialite trouvee sur internet.
Etape 3 : Contrats de sous-traitance
Quoi : un contrat avec chaque partie externe qui traite des donnees personnelles pour votre compte.
Pourquoi : sans contrat de sous-traitance, vous n’etes pas autorise a faire traiter des donnees personnelles par un tiers.
Avec qui en avez-vous besoin ?
- Votre comptable
- Votre outil d’emailing (Mailchimp, ActiveCampaign)
- Votre stockage cloud (Google Workspace, Microsoft 365)
- Votre hebergeur web
- Votre prestataire de paie
- Votre systeme CRM
Modele : Contrat de sous-traitance (DPA)
Un contrat de sous-traitance pret a l’emploi que vous pouvez envoyer directement a vos sous-traitants.
Voir le modele arrow_forwardEtape 4 : Procedure de violation de donnees
Quoi : une procedure documentee decrivant la marche a suivre en cas de violation de donnees.
Pourquoi : une violation de donnees doit etre signalee a l’autorite de controle dans les 72 heures. Si vous devez encore determiner quoi faire a ce moment-la, vous ne respecterez pas le delai.
Ce dont vous avez besoin :
- Une procedure decrivant qui fait quoi lors d’une violation
- Un registre des violations pour documenter les incidents
- Des modeles pour la notification a l’autorite de controle et aux personnes concernees
Lisez notre article sur les violations de donnees.
Modele : Notification de violation
Formulaire de notification pour l’autorite de controle et modele de notification aux personnes concernees.
Voir le modele arrow_forwardEtape 5 : Droits des personnes concernees
Quoi : une procedure pour traiter les demandes des personnes dont vous traitez les donnees.
Pourquoi : les personnes concernees peuvent demander l’acces, la rectification ou l’effacement de leurs donnees. Vous devez repondre dans un delai d’un mois.
Ce dont vous avez besoin :
- Une procedure : qui recoit les demandes, qui les traite, comment les documenter
- Des modeles de reponses types
- Un registre des demandes
Lisez notre article sur les droits des personnes concernees.
Modele : Reponse a une demande d'acces
Reponses types pour les demandes d’acces, de rectification et d’effacement.
Voir le modele arrow_forwardChecklist complete
Documentation
- Registre des traitements etabli
- Politique de confidentialite du site web publiee
- Politique de confidentialite interne pour les employes redigee
- Contrats de sous-traitance signes avec tous les sous-traitants
- Politique de cookies redigee (si votre site utilise des cookies)
Procedures
- Procedure de violation de donnees documentee
- Registre des violations mis en place
- Procedure pour les demandes des personnes concernees documentee
- Registre des demandes mis en place
- Durees de conservation definies par activite de traitement
Site web
- Politique de confidentialite accessible via un lien en pied de page
- Bandeau de cookies avec un vrai choix (accepter ET refuser)
- Audit des cookies realise
- Formulaires de contact renvoyant a la politique de confidentialite
- Analytics configure de maniere conforme au RGPD
Securite
- Politique de mots de passe mise en place (mots de passe forts, 2FA)
- Ordinateurs portables et appareils mobiles chiffres
- Acces aux donnees personnelles limite au strict necessaire
- Comptes des employes partants immediatement desactives
- Procedure de sauvegarde en place
Organisation
- Responsable RGPD designe au sein de l’organisation
- Employes formes aux bases (qu’est-ce qu’une violation, qu’est-ce qu’une demande)
- Revision annuelle du registre des traitements et de la politique de confidentialite planifiee
Ce dont vous N’AVEZ PAS besoin (en tant que PME)
Beaucoup d’entreprises pensent que le RGPD est plus complexe qu’il ne l’est en realite. En tant que PME, vous n’avez probablement pas besoin de :
- Un DPO (delegue a la protection des donnees), sauf si vous traitez des donnees sensibles a grande echelle
- Une AIPD (analyse d’impact relative a la protection des donnees), sauf si vous lancez de nouveaux traitements a risque eleve
- Un consultant couteux - vous pouvez gerer les bases vous-meme avec les bons outils et les bonnes informations
- Un responsable vie privee dedie - designez simplement une personne en interne comme point de contact
GDPRWise scanne votre site web et remplit automatiquement la majeure partie de cette checklist : registre des traitements, politique de confidentialite, audit des cookies et plan d'action personnalise.