L’évaluation de la conformité | 1ère partie
Dans l’épisode précédent, on vous présentait comment réaliser un état des lieux “RGPD”… Vous l’avez-fait ? Ça y est ? Et est-ce que vous avez aussi procédé à l’évaluation de conformité ?
Quoi ?? Encore une étape ?! Ça n’en finira donc jamais !? Eh bien…
Une mise en conformité représente un cercle vertueux que l’on peut décomposer en quatre étapes assez classiques : le PDCA.
- Plan
- Do
- Check
- Act
Ou en français : planifier, réaliser, évaluer, agir.
Alors avec l’état des lieux on était un petit peu dans la partie planification mais on n’en est pas tout à fait sorti. Avant de pouvoir réaliser quoi que ce soit, il faut bien évaluer l’existant et mettre en place le ou les plans d’action.
L’évaluation de conformité reposera en fait sur l’évaluation du respect des principes fondamentaux du RGPD : ceux de l’article 5. Et ce, pour toutes les activités de traitement que vous aurez recensées lors de l’EDL … On vous voit venir… “Mais c’est sans fin !” Ou alors “mais je n’y connais rien moi, comment je dois m’y prendre ??”
Pour la première question : une mise en conformité quand on part de zéro prendra effectivement du temps et ses étapes seront parfois amenées à être répétées, jusqu’à ce que les bonnes habitudes restent.
Sur la seconde question : si le RGPD est pour vous un réel casse-tête, il vous faudra un pilote (on vous en reparlera plus tard).
Admettons donc que vous êtes accompagnés par un expert ou que c’est vous l’expert : notre évaluation par traitement commence avec les 4 premiers points de l’article 5.
Toute activité de traitement de données est loyale, licite et transparente, et les données sont collectées pour des finalités déterminées, explicites et légitimes et sont adéquates, pertinentes et limitées à ce qui est nécessaire, et enfin, sont exactes et tenues à jour.
Il s’agira donc de vérifier que pour chacune de vos activités de traitement :
- Vous disposez d’un ou de plusieurs objectifs licites que vous pourrez justifier au cas par cas ;
- Pour chaque objectif, vous utilisez les données strictement nécessaires et vous veillez à ce que les données inutiles soient détruites le cas échéant, et les infos inexactes ou devenues obsolètes, mises à jour ou supprimées selon la situation.
- Chacune de vos activités repose sur la bonne base juridique : vous traitez des données en vertu d’obligation légale, dans le cadre de l’exécution de contrat, avec le consentement des personnes, etc.
- Et enfin, pour chaque activité de traitement, il existe bel et bien une mention d’information dont il faudra vérifier le contenu (mais ça, on en reparle au prochain épisode)
Entre temps si vous avez des questions n’hésitez pas à nous contacter !