Category
IT
Quick Access
Triptyque de cibles à prendre en compte :
- CLIENTS / PROSPECTS (sales)
- FOURNISSEURS (admin)
- COLLABORATEURS (hr)
Recenser et qualifier les données
Mettre en place un registre de traitements de données identifiées. L’entreprises étant garante des données personnelles, elle doit garantir que les données :
- sont nécessaires à l’activité de l’entreprise.
- ne sont pas « sensibles » (liste des données sensibles recensées par la CNIL)
- ne sont pas conservées au-delà de ce qui est nécessaire.
- ne sont accessibles que par les personnes ayant été habilitées.
Désigner un responsable de traitement (et l'afficher dans l'organigramme) : personne physique ou morale qui détermine les finalités et les moyens du traitement des données. Ce responsable va en outre porter la responsabilité légale de ce traitement.
Fortement recommandé par la CNIL, la désignation du DPO n’est obligatoire que pour les entreprises qui 1) réalisent un suivi régulier et systématique des personnes (géolocalisation, badges, ...), 2) traitent des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Opérationnaliser le registre de traitements
Informer les cibles de leurs droits lors de la collecte de donnée (exemple : paragraphe explicatif dédié sur les supports de collecte).
- L’objectif poursuivi
- Le fondement juridique autorisant le traitement des données
- Le destinataire ayant accès aux données
- La durée de conservation de ces données
Obtenir une preuve du consentement des cibles concernant la collecte de leurs données (marketing : opt-in, sales : clause du contrat, collaborateurs : via le règlement intérieur de l’entreprise, une note de service, le contrat de travail du salarié, ou encore le livret d’accueil remis à chaque nouveau salarié.)
Permettre aux cibles d’exercer facilement leurs droits à la consultation, modification, suppression (exemple : mise en place d'un email RGPD@XXXX.fr ).
Gérer la conservation et l'archivage des données.
Sécuriser vos données
L’entreprise doit garantir la sécurité du patrimoine de données personnelles qu’elle détient.
S'assurer que les outils / fournisseurs sont GDPR Compliant.
Ressources
Monter en compétences en interne :
Liste des formations labellisées par la CNIL : https://www.cnil.fr/fr/type-de-label/formation
Se faire accompagner :
Liste des organismes agréés, https://www.cnil.fr/fr/organisme-agrees
Checklist avec les différents items :
Office hours gratuite avec BOLD AVOCAT sur le sujet
RGPD - RH0 - Modèle note interne salarié en poste.docx37.4KB
RGPD - RH1 - Modèle Recrutement d'un salarié.doc77.0KB
RGPD - RH3 - Modèle de clause à intégrer au contrat de travail.docx35.8KB
RGPD - RH2 - Modèle Respect de la sécurité par les collaborateurs.doc76.0KB
Lawyer list
https://www.leben-avocats.com/
www.momentum-avocats.com