RGPD : Prioriser les actions (N°3 sur 6)

Sur la base du registre des traitements de données personnelles, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.

Points d’attention quels que soient les traitements de données

  • Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
  • Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale).
  • Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement.
  • Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement...).
  • Vérifiez les mesures de sécurité mises en place.

Points d’attention nécessitant une vigilance particulière

Vous traitez certains types de données :
- des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
- des données relatives à la santé ou l’orientation sexuelle,
- des données génétiques ou biométriques,
- des données d’infraction ou de condamnation pénale,
- des données concernant des mineurs.

Votre traitement de données personnelles a pour effet :
- la surveillance systématique à grande échelle d’une zone accessible au public,
- l’évaluation systématique et approfondie d’aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative.

Vous transférez des données hors de l’Union européenne ?
- Vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne.
- Dans le cas contraire, encadrez vos transferts.

Fiche pratique réalisée par la CNIL.

 

Ressources :

> Guide sécurité des données personnelles [PDF]

 

 


Contactez-nous

Suivez-nous

Un service