Recensement des activités principales qui collectent et traitent des données (recrutement, paie, gestion des badges, gestion des clients, gestion des prospects, …).
Faire le tri et vérifier la conformité par rapport au RGPD et la loi Informatique et Libertés.
Vérifier la sous-traitance des données, prévoir une clause spécifique sur la protection des données personnelles.
Si un traitement de données fait apparaitre un risque élevé, obligation d’une Analyse d’Impact sur la Protection des données (PIA)
Vérifications en cas de transfert des données en dehors de l’Union européenne.
Informer les personnes
Définir une politique de confidentialité et d’accès à l’information
Répondre aux obligations de transparence
Permettre aux personnes d’exercer facilement leurs droits
Mettre en place un processus pour le traitement des demandes
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données et des risques.
Protection par mot de passe, sécurisation des accès aux locaux, profils des utilisateurs et habilitations, procédures de sauvegarde et de récupération des données en cas d’incident, …
Définir les modes de communication avec la CNIL en cas de violation des données .
Vérification de l’obligation ou non de désigner un DPO.
Définir l’ensemble des procédures applicables pour fluidifier la circulation des informations internes et des demandes externes.
Organiser la communication avec la CNIL.
Former le personnel à la gestion des données personnelles et leur protection.
Mettre en place le système.
Organiser le suivi, définir l'amélioration.
Intégrer au système Qualité.
Effectivement, le RGPD ne s’applique pas aux données anonymisées.
Attention, le RGPD s’applique aux données « pseudonymisées » qui peuvent permettre d’identifier une personne, par un ensemble de recoupements. L’anonymisation suppose que l’identification de la personne soit rendue impossible ou difficile en tenant compte des coûts, du temps nécessaire ou des technologies disponibles.
Faux, le RGPD s’applique aux traitements en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données et donc les dossiers papiers.
Faux, au sens du RGPD, la liste de diffusion constitue un traitement de données personnelles . Le client doit donc avoir accepté de recevoir la newsletter et peut à tout moment se retirer de la liste de diffusion.
OUI, la prospection est un traitement de données personnelles qui suppose la possibilité pour la personne concernée de s’y opposer à tout moment.
Faux, l’organisation d’événements suppose le traitement de données personnelles pour l'organisation et le suivi exemples : newsletters, fichiers clients-prospects, billetterie, invitations nominatives, jeux-concours, ...
Contactez nous pour en savoir plus sur notre cabinet et nous en dire plus sur vos besoins.