Portail de la réglementation de protection des données personnelles
Planning de mise en œuvre de la RGPD (outil gratuit)
Outil
Planning de mise en œuvre de la RGPD (outil gratuit)
Outil

Planning de mise en œuvre de la RGPD (outil gratuit)

acteurs

Etape 1 : identifier les acteurs, planifier le projet RGPD

Pour la RGPD, il y a deux grands acteurs :

  1. Le Responsable des Traitements qui est normalement le responsable de l’établissement concerné (gérant, président, maire, …)
  2. Le DPD / DPO (Délégué à la Protection des données) en charge de la conduite de la mission de respect de conformité RGPD. Il est à noter que la nomination d’un DPD n’est pas une obligation pour toutes les entreprises. Par contre c’est une obligation pour toutes les  collectivités publiques.

D’autres acteurs interviendront sans doute dans votre projet :

  • la CNIL
  • un prestataire extérieur pouvant vous aider à mettre en place le projet RGPD et pouvant ensuite éventuellement vous assister en qualité de DPD si vous n’avez pas besoin de cette fonction à temps plein
  • les destinataires des traitements qui sont toutes les personnes ayant à agir ou simplement voir les données traitées.
[siteorigin_widget class=”SiteOrigin_Widget_Image_Widget”][/siteorigin_widget]

Etape 2 : créer le référentiel RGPD

Le référentiel RGPD contiendra les outils et documents nécessaires au bon respect de vos obligations légales :

  • cartographie des traitements et création de votre registre des traitements
  • pour les cas de traitements délicats, réaliser une étude d’impact sur la vie privée (EIVP / PIA en anglais)
  • processus / procédures RGPD
  • documentation légale
  • contrats de sous-traitance avec niveau de conformité RGPD
  • recueil de consentement
  • transferts hors UE
  • code de bonne conduite RGPD

Ce référentiel sera alimenté au fur et à mesure de l’avancement des travaux de conformité.

[siteorigin_widget class=”SiteOrigin_Widget_Image_Widget”][/siteorigin_widget]

Etape 3 : évaluer et faire vivre votre conformité

À partir des fiches de traitement de votre  registre des traitements vous devez évaluer si vous respectez les principes de la RGPD :

  • principe de minimisation : ne collectez-vous que les éléments de données privées qui sont nécessaires aux objectifs du traitement concerné ?
  • principe de consentement explicite : les informations données et le consentement recueillis sont-ils clairs, compréhensibles, librement acceptées
  • principe de droit à l’oubli : en dehors des obligations légales nécessitant de conserver les données, procédez-vous bien à l’effacement ou l’anonymation des données au bout d’un délai raisonnable
  • principe de portabilité : êtes-vous en mesure de transmettre les données privées collectées si une personne vous le demande
  • principe d’implication de la sous-traitance : si vos traitements impliquent des sous-traitants, vous êtes-vous assuré de leur conformité
  • principe de protection à la conception : votre système d’information prévoit-il “par nature” un niveau correct de protection des données

Ce référentiel sera alimenté au fur et à mesure de l’avancement des travaux de conformité. Les traitements jugés critiques devront faire l’objet d’une analyse plus poussée d’impact sur les risques des données personnelles (PIA).

[siteorigin_widget class=”SiteOrigin_Widget_Image_Widget”][/siteorigin_widget]

Etape 4 : demandes et fuites de données

  1. En cas de demande d’application de la RGPD, vos procédures sont-elles prêtes ?
  2. En cas de fuite de données (data breach), vos procédures sont-elles prêtes ?
  3. Votre communication de crise est-elle validée ?