Planning de mise en œuvre de la RGPD (outil gratuit)

planning : etape 1

Etape 1 : identifier les acteurs

Pour la RGPD, il y a deux grands acteurs :

  • le responsable des traitements qui est normalement le responsable de l'établissement concerné (gérant, président, maire, ...)
  • le DPD / DPO (Délégué à la Protection des données) en charge de la conduite de la mission de respect de conformité RGPD. Il est à noter que la nomination d'un DPD n'est pas une obligation pour toutes les entreprises. Par contre c'est une obligation pour toutes les  collectivités publiques.

D'autres acteurs interviendront sans doute dans votre projet :

  • la CNIL
  • un prestataire extérieur pouvant vous aider à mettre en place le projet RGPD et pouvant ensuite éventuellement vous assister en qualité de DPD si vous n'avez pas besoin de cette fonction à temps plein.
planning : etape 2

Etape 2 : créer le référentiel RGPD

Le référentiel RGPD contiendra les outils et documents nécessaires au bon respect de vos obligations légales :

  • cartographie des traitements et création de votre registre des traitements
  • analyse d'impact liée à la protection des données (PIA)
  • processus / procédures RGPD
  • documentation légale
  • contrats de sous-traitance avec niveau de conformité RGPD
  • recueil de consentement
  • transferts hors UE
  • code de bonne conduite RGPD

Ce référentiel sera alimenté au fur et à mesure de l'avancement des travaux de conformité.

Etape 3 : évaluation de votre conformité

À partir des fiches de traitement de votre  registre des traitements vous devez évaluer si vous respectez les principes de la RGPD :

  • principe de minimisation : ne collectez-vous que les éléments de données privées qui sont nécessaires aux objectifs du traitement concerné ?
  • principe de consentement explicite : les informations données et le consentement recueillis sont-ils clairs, compréhensibles, librement acceptées
  • principe de droit à l'oubli : en dehors des obligations légales nécessitant de conserver les données, procédez-vous bien à l'effacement ou l'anonymation des données au bout d'un délai raisonnable
  • principe de portabilité : êtes-vous en mesure de transmettre les données privées collectées si une personne vous le demande
  • principe d'implication de la sous-traitance : si vos traitements impliquent des sous-traitants, vous êtes-vous assuré de leur conformité
  • principe de protection à la conception : votre système d'information prévoit-il "par nature" un niveau correct de protection des données

Ce référentiel sera alimenté au fur et à mesure de l'avancement des travaux de conformité. Les traitements jugés critiques devront faire l'objet d'une analyse plus poussée d'impact sur les risques des données personnelles (PIA).

planning : etape 4

Etape 4 : fuite de données

  1. En cas de fuite de données (data breach), vos procédures sont-elles prêtes ?
  2. votre communication de crise est-elle validée ?

Les commentaires sont clos.