Checklist de conformité RGPD
Si votre organisation collecte ou traite des données personnelles de résidents de l’UE, elle est soumise au règlement général sur la protection des données (RGPD). Le RGPD mentionne de multiples exigences spécifiques pour les responsables du traitement (les organisations qui déterminent la finalité et les moyens de traitement des données personnelles) et les sous-traitants (les entreprises en charge du traitement des données pour le compte du responsable du traitement). Pour vous conformer au RGPD, vous devez notamment ne collecter que le minimum de données nécessaires auprès de vos clients et traiter les données personnelles dans le respect de la loi.
Pour bien commencer
Selon la taille de votre entreprise, vous pouvez faire appel aux services d’une agence de conseil indépendante pour obtenir des conseils juridiques sur les conditions exactes de mise en conformité. Toutefois, d’après les directives du RGPD, votre checklist de conformité de haut niveau doit comprendre au minimum les éléments suivants :
- Recrutez un responsable de la protection des données ou désignez une personne pour assumer le rôle de délégué à la protection des données (DPO). Un DPO est chargé de superviser la stratégie de protection des données de l’entreprise et sa mise en œuvre afin de garantir la conformité avec les exigences du RGPD. Le rôle de délégué à la protection des données est obligatoire si vous traitez une « catégorie spéciale » de données ou si le traitement des données est effectué par une autorité publique. Si votre entreprise ne dispose pas d’un bureau dans l’UE, vous devez désigner un représentant officiel dans l’Union.
- Évaluez votre conception de la protection des données – Vos processus doivent tenir compte de la protection de la vie privée et la confidentialité doit être appliquée par défaut chaque fois que de nouveaux produits ou services sont mis à la disposition du public. Pour bien commencer, le mieux est de procéder à une analyse d’impact sur la protection des données (AIPD) : Faites l’inventaire de tous vos processus qui impliquent la collecte, le stockage, l’utilisation ou la suppression de données à caractère personnel, puis évaluez la valeur ou la confidentialité des informations, ainsi que les dommages ou la détresse que les personnes pourraient subir en cas de violation de la sécurité. En comprenant bien les risques pour la vie privée, vous pouvez choisir les mesures de sécurité, planifier les investissements et les activités, et préparer les politiques, les procédures et la documentation nécessaires.
- Tracez les grandes lignes de votre plan de gouvernance des données – La gouvernance des données implique de mobiliser les personnes, les processus et les technologies nécessaires pour traiter les données de manière cohérente et appropriée dans toute l’entreprise.
- Obtenez un consentement pour collecter, conserver et effacer les données – La conformité au RGPD impose d’assurer la transparence et de donner aux consommateurs un plus grand contrôle sur leurs données.
- Consignez vos techniques de conformité, d’audit et de gestion des documents d’activité – Les responsables du traitement des données doivent être en mesure de prouver que leur organisation est conforme au RGPD. Assurez-vous de disposer d’une base légale et documentée pour le stockage et le traitement des données.
- Définissez et préparez vos obligations en cas de violation de données – Les responsables du traitement sont tenus d’informer l’autorité de contrôle dans les 72 heures suivant la prise de connaissance d’une violation de données. Les sous-traitants doivent informer les responsables du traitement de toute violation des données. Si une violation présente un risque élevé pour les personnes concernées, celles-ci doivent également en être informées, à moins que des mesures de protection efficaces, telles que la pseudonymisation ou l’anonymisation complète, n’aient été appliquées.
- Consignez vos mesures de protection des données – Les auditeurs voudront connaître les contrôles que vous avez mis en œuvre.
Checklist d’audit RGPD
Votre checklist d’audit RGPD définitive dépend de divers facteurs, notamment de l’ampleur de vos opérations, de la quantité et des types de données que vous collectez, et des résultats de votre analyse d’impact sur la protection des données. Voici néanmoins les principales choses à faire et les questions à poser :
- Consignez les données personnelles que vous collectez – « Quelles données collectons-nous ? »
- Minimisez la quantité de données que vous collectez – « Chaque donnée est-elle utile ? »
- Connaissez vos flux de données – « Où stockons-nous les données ? »
- Optez pour des mesures de sécurité fortes – « Comment protégeons-nous et consignons-nous les données ? »
- Affinez votre politique de conservation des données – « Combien de temps conservons-nous les données ? »
- Évaluez les risques – « Disposons-nous de mesures de cybersécurité adéquates pour protéger les données ? »
- Préparez-vous aux demandes d’accès à leurs données par les personnes concernées (DSAR) – « Quelle est la procédure à suivre pour honorer une demande de suppression, de modification ou d’accès aux données que nous stockons ? » Les droits des personnes concernées et vos obligations correspondantes sont détaillés ci-dessous.
Respect des droits des personnes concernées
Droits des personnes concernées
Le droit d’être informé – Les personnes physiques peuvent vous demander des informations claires et concises sur ce que vous faites de leurs données à caractère personnel.
- Le droit d’accès – Toute personne concernée peut vous demander une copie de ses données personnelles, ainsi que des informations complémentaires pour l’aider à comprendre comment et pourquoi vous utilisez ses données, et si vous le faites légalement.
- Le droit de rectification – Les personnes physiques ont le droit de faire corriger des données personnelles inexactes. Selon les objectifs du traitement des données, les personnes physiques peuvent également avoir le droit d’exiger que leurs données personnelles incomplètes soient complétées (par exemple, en ajoutant une mention complémentaire).
- Le droit d’effacement (droit à l’oubli) – Les personnes physiques ont le droit de faire effacer leurs données personnelles. Ce droit n’est pas absolu et ne s’applique que dans certaines circonstances.
- Le droit de restriction de traitement – Le RGPD donne aux personnes physiques le droit de limiter la manière dont une organisation utilise leurs données.
- Le droit à la portabilité des données – Les personnes physiques ont le droit de recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement dans un format structuré, communément utilisé et lisible par une machine. Elles peuvent aussi demander que le responsable du traitement transmette ces données directement à un autre responsable du traitement.
- Le droit d’opposition – Les personnes physiques peuvent s’opposer à tout moment au traitement de leurs données à caractère personnel, et le responsable du traitement doit alors cesser de les traiter.
- Les droits relatifs à la prise de décision automatisée lors du traitement des données à caractère personnel – Les personnes physiques ont le droit de ne pas être soumises à des décisions fondées uniquement sur un traitement automatisé (tel que le profilage) qui ont un effet juridique sur elles.
Vous devez faciliter l’exercice de ces droits par les personnes concernées, soit par le biais d’une page en libre-service dotée de boutons et d’options claires, soit par demande directe.
Checklist de communication
Pour respecter vos obligations légales envers les personnes concernées, vous devez impérativement rendre publiques les informations suivantes dans un langage clair et facile à comprendre :
- Politique de confidentialité – Expliquez votre approche vis-à-vis de la confidentialité et de la sécurité des données. Précisez quelles informations personnelles et non personnelles vous collectez et pourquoi.
- Politique de conservation des données – Précisez que vous ne conservez jamais les données plus longtemps que cela est nécessaire au regard des objectifs pour lesquels elles ont été collectées. Veillez à supprimer automatiquement ou à rendre anonymes les données personnelles qui ne sont plus nécessaires.
- Conditions de transfert de données vers d’autres pays – Expliquez les conditions dans lesquelles vous autorisez les transferts internationaux de données à caractère personnel.
- Politique de protection des données – Expliquez comment les données personnelles seront protégées conformément au RGPD.
- Informations de contact – Indiquez l’adresse légale de votre organisation et les coordonnées de votre responsable de la protection des données (le cas échéant).
- Conditions d’utilisation – Si votre système ne collecte pas de manière intentionnelle des données provenant d’enfants ou les concernant, précisez ce qui suit en caractères gras : « Ce site web n’est accessible qu’aux personnes âgées d’au moins 16 ans. » Sinon, vous devez ajouter une case à cocher sur votre page d’inscription (comme indiqué ci-dessous) et obtenir l’autorisation des parents pour les utilisateurs de moins de 16 ans.
- Politique de paiement et politique relative aux cookies – Précisez comment sont gérés les paiements et quels cookies sont créés et utilisés par le système.
Checklist de page d’inscription
Lorsque vous concevez votre page d’inscription, gardez à l’esprit les exigences suivantes :
- Le nombre de champs doit être minimal et raisonnable.
- Les personnes concernées doivent pouvoir comprendre clairement ce à quoi elles consentent. Vous devez leur offrir un contrôle granulaire sur les contenus marketing que vous leur envoyez, et pas seulement regrouper tous les consentements dans une seule case à cocher. Si vous voulez proposer aux utilisateurs de s’inscrire à une liste de diffusion, vous devez prévoir une case à cocher distincte.
- Il est impératif que les utilisateurs acceptent explicitement vos conditions d’utilisation et votre politique de confidentialité.
Checklist relative aux documents
Les documents suivants sont requis :
- Politique de confidentialité
- Politique de protection des données personnelles
- Inventaire des activités de traitement
- Politique de réponse aux incidents de sécurité
- Formulaire de notification à l’autorité de contrôle d’une violation de données
- Formulaire de notification aux personnes concernées d’une violation de données
- Politique de conservation des données
Il est possible de combiner les politiques suivantes en une seule politique de gouvernance de l’information :
- Politique de suppression des données
- Politique de sauvegarde et de continuité des activités
- Politique de contrôle d’accès au système
- ANS et procédures de remontée
- Politique de contrôle du chiffrement
- Politique de récupération et de continuité des activités
- Normes de codage et procédure de déploiement
- Politique et procédures d’emploi
- Politique de résiliation des utilisateurs
- Politique d’audit
- Politique d’évaluation des risques
- Politique de sensibilisation et de formation
Checklists de protection des données
Le RGPD ne spécifie pas de contrôles de sécurité particuliers en matière de conformité, mais exige que vous respectiez le principe de la protection des données par conception et par défaut. Les checklists suivantes vous aideront à mettre en œuvre les mesures et pratiques techniques et organisationnelles appropriées.
Checklists de protection technique des données
- Sécurité des réseaux – Conception de la sécurité des réseaux, pare-feux, accès VPN
- Chiffrement des données au repos – Chiffrement de disque entier, chiffrement de base de données
- Chiffrement des données en transit – HTTPS, IPSec, TLS, PPTP, SSH
- Contrôles d’accès (physique et technique) :
- Restreignez l’accès à votre système aux sources fiables
- Mettez en œuvre la détection et la prévention des menaces internes
- Limitez les autorisations des utilisateurs et des groupes selon les besoins propres à chaque poste
- Restreignez l’utilisation des comptes privilégiés
- Instaurez une politique de mots de passe forts
- Mettez en œuvre une politique de verrouillage
- Prévention et détection des intrusions
- Surveillance d’état
- Sauvegardes régulières
- Chiffrement des sauvegardes
- Authentification multifacteur, autorisations strictes
- Solution antivirus
- Analyses régulières des infrastructures
- Politique d’installation des logiciels, politique de mise à jour des logiciels, politique de mise à niveau des équipements
Checklists de protection organisationnelle des données
- Diligence raisonnable – Vos mesures de sécurité sont inutiles si vous transmettez des données à des tiers qui ne peuvent garantir la protection des données. Un contrôle minutieux de vos fournisseurs et prestataires de services est aussi important que les audits internes et les rapports.
- Examens et audits – Pour garantir l’efficacité de vos politiques et procédures, vous devez procéder régulièrement à des examens et audits de vos politiques.
- Sensibilisation et formation - Assurez-vous que vos employés et sous-traitants sont conscients des risques juridiques et possèdent les compétences nécessaires.
- Information de la direction et reporting – Il est essentiel de présenter régulièrement des rapports à la direction générale aux fins de responsabilisation à l’échelle de l’entreprise, et pour obtenir un financement adéquat et d’autres ressources en vue de la mise en conformité RGPD.