Conseils et astuces pour la conformité au RGPD

  1. Commencez à vous préparer dès maintenant

Si ce n'est pas déjà fait, commencez à vous préparer immédiatement.

  1. Contexte

Le règlement repose sur trois idées principales : la protection des données à caractère personnel, la protection des droits et libertés de la personne dans la protection de ses données, la limitation de la circulation des données à caractère personnel au sein de l'Union européenne.

  1. Sensibiliser l'ensemble de votre organisation

Le RGPD a incité les organisations à s'y préparer le plus tôt possible. Alors, qu’il est en vigueur depuis quelques années, beaucoup d’institutions n’y sont pas ou insuffisamment préparées. Les sanctions pour non-conformité émises par les autorités de contrôles en sont la preuve.

Il est indispensable que les personnes clés et les responsables connaissent la législation RGPD, afin qu'ils puissent comprendre l'impact potentiel et identifier les domaines qui nécessitent une attention pour la conformité. Commencez par examiner votre registre des risques, si vous en avez un.

  1. Audit des données personnelles

Documentez quelles données personnelles vous détenez, d'où elles proviennent et avec qui vous les partagez. Le RGPD rend les organisations responsables de prouver qu'elles respectent les principes de protection des données, par exemple en mettant en place des politiques et des procédures efficaces.


Si vous vous rendez compte que vous avez partagé des données personnelles inexactes avec d'autres organisations, il est de votre responsabilité d'informer l'autre organisation de cette inexactitude afin qu'elle puisse, elle aussi, corriger ses propres dossiers.


Toute donnée qui peut être utilisée pour identifier un individu, ou qui est liée à des informations d'identification, est considérée comme une "donnée personnelle" et relève du règlement RGPD.

  1. Débarrassez-vous des données dont vous n'avez plus besoin

Le "nettoyage" de vos données permet de se concentrer sur les informations et métriques importantes utilisées pour créer de la valeur entre une entreprise et ses consommateurs.


Ce processus vous aidera également à rester conforme à l'exigence du RGPD en matière de durée de stockage limitée et de consentement au traitement.

  1. Mettez à jour votre avis de confidentialité

Lorsque vous collectez des données personnelles, vous utilisez probablement une note de confidentialité contenant des informations telles que votre identité et la manière dont vous comptez utiliser leurs informations. En vertu du RGPD, vous devez indiquer aux personnes certaines choses supplémentaires, telles que :

  • votre base juridique pour le traitement des données
  • vos périodes de conservation des données
  • leur droit de se plaindre à l'ICO s'ils pensent qu'il y a un problème avec la façon dont vous traitez leurs données.
  1. Révisez vos procédures qui offrent un support aux droits des personnes

L'essentiel ici est de vous assurer que vous disposez des procédures nécessaires pour vous conformer, par exemple, à la demande d'une personne de lui fournir les données dont vous disposez à son sujet par voie électronique et dans un format communément utilisé.
Les principaux droits des personnes en vertu du RGPD sont les suivants :

  • permettre l'accès aux données
  • faire corriger les inexactitudes
  • faire effacer des informations
  • empêcher le marketing direct
  • empêcher la prise de décision et le profilage automatisés
  • autoriser la portabilité des données (conformément au paragraphe ci-dessus).
  1. Révisez vos procédures de soutien aux demandes d'accès aux données

Les demandes d'accès aux données peuvent représenter un véritable casse-tête logistique/administratif pour de nombreuses entreprises.

Vous ne pouvez pas facturer le fait de répondre à des demandes raisonnables et vous n'avez qu'un mois pour le faire. Il existe différents motifs pour refuser de se conformer à une demande d'accès d’un sujet, et si vous refusez une demande, vous devez avoir des politiques et des procédures en place pour démontrer pourquoi la demande répond à ces critères.

  1. Identifier et documenter votre base légale pour le traitement des données personnelles

Vous devez comprendre les différents types de traitement de données que vous effectuez, identifier votre base légale pour les réaliser et la documenter.

  1. Examinez comment vous recherchez, obtenez et enregistrez le consentement

Si vous vous appuyez sur le consentement des individus pour traiter leurs données, assurez-vous qu'il répond aux normes requises par le RGPD. Si ce n'est pas le cas, modifiez vos mécanismes de consentement ou trouvez une alternative au consentement. Le RGPD indique clairement que les responsables du traitement des données doivent être en mesure de démontrer que le consentement a été donné.

Vous devrez peut-être revoir les systèmes dont vous disposez pour enregistrer le consentement et vous assurer que vous disposez d'une piste d'audit efficace.

  1. Le "consentement sans ambiguïté" affectera le marketing

L'une des principales décisions du RGPD est l'introduction du "consentement sans équivoque" avant que les données personnelles ou comportementales d'un utilisateur puissent être utilisées à des fins de marketing. Dans le cadre du premier contact avec les individus, il est important qu'ils comprennent tous les aspects de ce qu'ils acceptent en proportion des informations partagées.

  1. Examinez les données que vous détenez sur les enfants

Le RGPD prévoit une protection spéciale pour les données personnelles des enfants. Si votre organisation collecte des informations sur des enfants de moins de 13 ans, vous avez besoin du consentement des parents/tuteurs pour traiter leurs données en toute légalité.

  1. Établir des procédures pour détecter, signaler et enquêter sur une violation de données personnelles.

Le RGPD exige que toutes les organisations notifient à l'ICO toutes les violations de données où la personne est susceptible de subir une forme de dommage, par exemple par un vol d'identité ou une violation de la confidentialité.


Vous devez mettre en place des processus pour détecter, signaler et enquêter sur les violations.
Le fait de ne pas signaler une violation peut entraîner une amende, ainsi qu'une amende pour la violation elle-même.

  1. Testez les procédures de réponse aux violations de données

Il existe un délai de 72 heures pour notifier à une autorité locale de protection des données (APD) une violation de données susceptible de causer un préjudice aux personnes concernées. Le RGPD exige que les personnes concernées soient notifiées "sans retard excessif".

Testez régulièrement les procédures de gestion des violations et les réponses aux demandes des personnes concernées pour vous assurer que les employés peuvent respecter ces délais. Ils doivent savoir comment identifier et signaler une violation de données en interne, et il doit être clair à qui incombe la responsabilité de communiquer avec l'APD et les clients.

  1. Il n'y a pas de frontières

Si votre entreprise collecte des données dans l'UE sur des citoyens de l'UE, le règlement RGPD s'applique, quel que soit l'endroit où vous vous trouvez.

  1. Transfert en dehors de l'UE

Il y a de sérieuses restrictions pour le transfert de données vers des pays tiers. La Commission européenne détermine quels pays "tiers" ou quels secteurs ou organisations de ces pays sont autorisés à transférer des données à caractère personnel.

  1. Révisez vos procédures relatives aux évaluations d'impact sur la confidentialité des données (DPIA)

Dans une situation à haut risque, comme le déploiement d'une nouvelle technologie, ou lorsque les opérations sont susceptibles d'affecter de manière significative les personnes, vous pouvez être tenu de réaliser une évaluation des incidences sur la vie privée (PIA).


Réfléchissez aux situations dans lesquelles il pourrait être nécessaire de réaliser une DPIA dans votre organisation. Qui s'en chargera ? Qui d'autre doit être impliqué ? Le processus doit-il être géré de manière centralisée ou locale ?

  1. Nommer un délégué à la protection des données (DPO)

Si votre organisation emploie 250 personnes ou plus, est une autorité publique ou est impliquée dans le suivi régulier et systématique des personnes concernées à grande échelle, vous devez désigner un délégué à la protection des données. Le DPO doit assumer la responsabilité adéquate de la conformité à la protection des données et disposer des connaissances, du soutien et de l'autorité nécessaires pour le faire efficacement.

  1. Conformité au RGPD par la conception (by design)

Si vous concevez tous les processus RGPD en fonction du règlement, vous n'aurez à le faire qu'une seule fois pour qu'il soit correct. Le RGPD est une perspective à long terme pour les entreprises afin de réglementer les données collectées auprès des clients. L'Internet des objets et le Big Data ne sont pas un mouvement, c'est une évolution de la façon dont les gens se connectent et s'engagent les uns avec les autres et avec leur environnement physique. Se conformer au RGPD dès la conception (by design) vous assure de n'avoir à lire les conseils qu'une seule fois et de préparer votre entreprise au RGPD.

  1. Utilisez des logiciels conformes au RGPD

De nombreux logiciels, en particulier les fournisseurs de services cloud, ont mis à jour leurs applications et logiciels pour être conformes à la législation RGPD. Assurez-vous de parler à votre fournisseur actuel ou à celui que vous avez choisi pour voir comment leur logiciel fonctionne par rapport à la conformité RGPD et voir quels conseils ils ont pour vous aider à gérer efficacement vos données.


Une question importante pour les fournisseurs de services cloud est de savoir où ils stockent vos données (dans leur centre de données) - à l'intérieur ou à l'extérieur de l'UE.

Conseils pratiques pour la conformité au RGPD

Pages publiques

  • Politique de confidentialité - document de base dans lequel vous présentez votre conformité au RGPD, notamment :
    • Quelles informations personnelles et non personnelles vous collectez.
    • Pourquoi les collectez-vous ?
    • Combien de temps sont-elles stockées (elles ne doivent pas être stockées plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées).
    • Le transfert international vers d'autres pays
    • Les droits de l'utilisateur concernant ses données
    • Comment les données sont protégées
    • Adresse légale, coordonnées et coordonnées du DPD
  • Conditions générales d'utilisation

Page d'inscription

  • Minimisation des données - les champs pour la collecte des données doivent être minimaux et ne servir qu'à obtenir les informations nécessaires.
  • Option de consentement clair
  • Cases à cocher des conditions générales et de la politique de confidentialité
  • Case à cocher "Marketing", si vous prévoyez une activité de marketing

Page de profil de l'utilisateurle page

  • L'utilisateur doit pouvoir modifier / corriger ses données (directement ou indirectement)
  • L'utilisateur a le droit de supprimer son compte (directement ou indirectement)
  • Droit à la restriction du traitement. À la demande de l'utilisateur, ses informations personnelles ne doivent plus être accessibles au public, aux autres utilisateurs et même aux administrateurs du système.
  • L'utilisateur a le droit de faire exporter et/ou transmettre ses données à un autre responsable du traitement.
  • Consentement granulaire. Le responsable du traitement doit être en mesure de démontrer le consentement reçu.
  • Possibilité de donner / retirer le consentement pour des actions spécifiques (par exemple, le courrier marketing).

Fonctionnalités supplémentaires

  • Lorsque les données ne sont plus nécessaires, elles doivent être supprimées ou rendues anonymes.
  • Le contrôleur doit notifier à tous les autres responsables du traitement des données de l'utilisateur les actions mentionnées ci-dessus (demande de modification, de suppression, de restriction du traitement, etc.)

Mesures organisationnelles pour la protection des données

  • Politiques et documents importants
    • Politique de protection des données
    • Registres des activités de traitement
    • Politique de réponse aux incidents de sécurité
    • Politique de conservation des données

Politiques souhaitables (peuvent être combinées en un ou plusieurs documents)

  • Reprise après sinistre et continuité des activités
  • Politique d'élimination des données
  • Politique de sauvegarde
  • Processus d'embauche
  • Politique de contrôle d'accès au système
  • SLA
  • Politique relative au cycle de vie du développement logiciel
  • Procédures d'escalade
  • Politique de contrôle cryptographique
  • Normes de codage
  • Procédure de déploiement

Mesures techniques de protection des données

Le RGPD ne dit pas spécifiquement quelles mesures vous devez mettre en œuvre, cependant il exige que le responsable du traitement mette en œuvre des mesures techniques et organisationnelles appropriées.

  • Contrôle d'accès (physique et technique)
  • Cryptage des
    o des données au repos (disque entier, cryptage de la base de données)
    o Données en transit (HTTPS, IPSec, TLS, PPTP, SSH)
    o des sauvegardes
  • Pare-feu
  • Accès VPN
  • Détection d'intrusion
  • Prévention des intrusions
  • Surveillance de la santé
  • Exigences en matière de mots de passe
  • Authentification à 2 facteurs
  • Antivirus
  • Autres mesures, en fonction du système utilisé

Points spécifiques, qui peuvent nécessiter l'intervention d'avocats.

  • GDPR prohibits processing of special data by default. However if you meet one of article 9(2) statements, you can continue to process it.
  • Authorized representative must be appointed for controllers or processors that are not registered in EU area.
  • Controller is responsible for his subcontractors. They must comply with GDPR, regardless of where they are.
  • Subcontractor must not use services of another without the written consent of controller. Of course, this only applies to the scope of controllers cooperation.
  • Serious restrictions on data transfer. This also applies to data storage in case of cloud service providers.
  • Data Protection Officer (DPO)