L’évaluation de la conformité | 1ère partie

L’évaluation de la conformité | 1ère partie
Minute RGPD Vidéo

Dans l’épisode précédent, on vous présentait comment réaliser un état des lieux “RGPD”… Vous l’avez-fait ? Ça y est ? Et est-ce que vous avez aussi procédé à l’évaluation de conformité ?  

Quoi ?? Encore une étape ?! Ça n’en finira donc jamais !? Eh bien… 

Une mise en conformité représente un cercle vertueux que l’on peut décomposer en quatre étapes assez classiques : le PDCA. 

  • Plan  
  • Do  
  • Check  
  • Act 

Ou en français : planifier, réaliser, évaluer, agir. 

Alors avec l’état des lieux on était un petit peu dans la partie planification mais on n’en est pas tout à fait sorti. Avant de pouvoir réaliser quoi que ce soit, il faut bien évaluer l’existant et mettre en place le ou les plans d’action. 

L’évaluation de conformité reposera en fait sur l’évaluation du respect des principes fondamentaux du RGPD : ceux de l’article 5. Et ce, pour toutes les activités de traitement que vous aurez recensées lors de l’EDL … On vous voit venir… “Mais c’est sans fin !” Ou alors “mais je n’y connais rien moi, comment je dois m’y prendre ??” 

Pour la première question : une mise en conformité quand on part de zéro prendra effectivement du temps et ses étapes seront parfois amenées à être répétées, jusqu’à ce que les bonnes habitudes restent. 

Sur la seconde question : si le RGPD est pour vous un réel casse-tête, il vous faudra un pilote (on vous en reparlera plus tard).

Admettons donc que vous êtes accompagnés par un expert ou que c’est vous l’expert : notre évaluation par traitement commence avec les 4 premiers points de l’article 5. 

Toute activité de traitement de données est loyale, licite et transparente, et les données sont collectées pour des finalités déterminées, explicites et légitimes et sont adéquates, pertinentes et limitées à ce qui est nécessaire, et enfin, sont exactes et tenues à jour.  

Il s’agira donc de vérifier que pour chacune de vos activités de traitement :  

  • Vous disposez d’un ou de plusieurs objectifs licites que vous pourrez justifier au cas par cas ; 
  • Pour chaque objectif, vous utilisez les données strictement nécessaires et vous veillez à ce que les données inutiles soient détruites le cas échéant, et les infos inexactes ou devenues obsolètes, mises à jour ou supprimées selon la situation. 
  • Chacune de vos activités repose sur la bonne base juridique : vous traitez des données en vertu d’obligation légale, dans le cadre de l’exécution de contrat, avec le consentement des personnes, etc.  
  • Et enfin, pour chaque activité de traitement, il existe bel et bien une mention d’information dont il faudra vérifier le contenu (mais ça, on en reparle au prochain épisode) 

Entre temps si vous avez des questions n’hésitez pas à nous contacter !

Partager l'article

Articles similaires

Le principe de l’anonymisation
Minute RGPD Vidéo

Le principe de l’anonymisation

Lire la suite
Meta, encore sanctionné pour violation de la protection des données
Article RGPD Minute RGPD

Meta, encore sanctionné pour violation de la protection des données

Le groupe Meta se retrouve une nouvelle fois dans la ligne de mire des autorités pour une affaire datant de 2019. Vendredi 27 septembre, le géant américain a écopé d’une nouvelle amende de 91 millions d’euros, infligée par la Commission irlandaise de protection des données (DPC), l’équivalent de la CNIL en Irlande.
Lire la suite