Comment être conforme au RGPD ?

Table of Contents

Après des années de violations de données et d’utilisation secrète des données personnelles par les entreprises technologiques, l’UE a réagi avec le RGPD. Elle régit et réglemente la collecte et l’utilisation des données personnelles des citoyens de l’UE. Cela ne s’applique pas seulement aux entreprises basées dans l’UE. Il s’applique à toute entreprise à laquelle les citoyens de l’UE ont accès – même si l’organisation ne commercialise pas directement auprès des citoyens de l’UE.

Cela signifie que la conformité au RGPD est essentielle.

Toute entreprise jugée non conforme sera passible de lourdes sanctions, y compris des amendes. Pourtant, dans un sondage, un répondant sur cinq pense qu’une conformité complète au RGPD est « impossible ». Cela soulève des préoccupations importantes quant au fait qu’un grand nombre de petites et moyennes entreprises ne sont pas actuellement conformes au RGPD.

Non seulement c’est un risque sérieux pour les amendes. Mais c’est aussi manifestement faux. La conformité au RGPD est parfaitement possible pour toutes les entreprises ; Il faut simplement que les organisations soient acquittées avec les exigences.

Ici, nous allons explorer comment chaque organisation peut être conforme au RGPD.

Qui doit être conforme au RGPD ?

Le premier domaine de confusion est de savoir à qui appartient le RGPD. La réponse courte est toute personne qui collecte ou traite les données personnelles des citoyens de l’UE, quel que soit l’emplacement physique de l’organisation.

Donc, si vous êtes un détaillant en ligne basé aux États-Unis qui vend aux citoyens de l’UE, vous devez être conforme au RGPD. Pour éviter la conformité au RGPD, vous devez restreindre l’accès des entreprises aux citoyens de l’UE.

La liste de contrôle complète pour être conforme au RGPD

Si vous êtes une entreprise ou une organisation qui collecte des données personnelles, il est difficile de savoir comment commencer à devenir conforme. Cependant, l’ignorance ne sera pas une défense viable. C’est pourquoi nous avons mis au point une liste de contrôle complète en 9 étapes pour vous aider à devenir conforme au RGPD.

1. Quelles données collecterez-vous ?

C’est la question fondamentale. Sachez quelles données vous avez besoin pour fournir le service indiqué. Mais rappelez-vous, selon le RGPD, vous ne devez collecter que les données personnelles essentielles aux fins indiquées.

Avant de collecter ces données, vous devez demander le consentement explicite de la personne concernée. Il peut s’agir d’un consentement écrit ou de la coche d’une case. Mais vous devez être en mesure de démontrer que le consentement a été donné.

De plus, le consentement ne devrait être donné qu’à une fin spécifique. Si les données doivent être utilisées à des fins multiples, un consentement éclairé et explicite doit être donné pour chacune. Vous devez également énoncer clairement les différents objectifs. La transparence est l’un des principes du RGPD.

2. Combien de temps conserverez-vous les données ?

Décidez combien de temps l’information sera nécessaire. En vertu du RGPD, les données ne peuvent pas être conservées plus longtemps que nécessaire. Par conséquent, définissez clairement à quel moment les données seront éliminées, comment et pourquoi.

Vous devrez également fournir un mécanisme par lequel une personne concernée peut annuler son consentement. Cela signifie que vous devrez supprimer leurs données personnelles.

3. Comment allez-vous stocker les données ?

L’un des objectifs fondamentaux du RGPD est de limiter les violations de données. Cela signifie que vous devrez réfléchir longuement à la façon dont les données sont stockées, en veillant à préserver leur intégrité et leur confidentialité.

En outre, conformément à l’article 33, vous êtes tenu d’informer l’Association de protection des données dans les 72 heures en cas de violation de données. Vous devrez également informer la personne concernée de la violation de données – en énumérant les données personnelles qui ont été exposées.

4. Quel âge la personne consent-elle?

En vertu du RGPD, seules les personnes âgées d’au moins 16 ans sont autorisées à consentir à la collecte de données personnelles. Par conséquent, si vous collectez des données personnelles sur des utilisateurs plus jeunes, vous ne serez pas conforme au RGPD et le consentement ne sera pas valide.

5. Nommer un délégué à la protection des données (DPD)

Selon le RGPD, une organisation doit nommer un DPD pour l’un des éléments suivants :

– Si les données sont traitées par une autorité publique
– Si les données collectées font l’objet d’un suivi systématique
– Si les données collectées sont traitées à grande échelle

Il y a clairement une ambiguïté ici – car le RGPD ne définit pas la taille d’une échelle. Par conséquent, il est souvent judicieux de nommer un DPD pour superviser votre stratégie de protection des données, quelle que soit l’ampleur de votre collecte de données personnelles.

6. Tenez un journal RGPD

Ici, il serait préférable que vous documentiez comment votre organisation pratique la conformité au RGPD. Cela inclut la cartographie des flux de données au sein de votre organisation, de toutes les sources de données et de la manière dont vous atténuez le risque de violation de données.

Il fournit également une couverture si votre organisation subit une violation de données pendant qu’elle met en œuvre son cadre de conformité.

7. Double opt-in pour les nouvelles inscriptions à la liste de diffusion

Oui. Pour toute personne qui s’inscrit à votre liste de diffusion, incluez un processus de double opt-in. Cela signifie qu’ils doivent confirmer leur consentement deux fois. La première se produit lorsque le formulaire d’inscription est rempli. Le deuxième consentement se produit lorsque l’utilisateur clique sur le lien de confirmation envoyé automatiquement après l’achèvement du formulaire d’inscription.

Bien que le RGPD ne spécifie pas les inscriptions obligatoires à double opt-in, il s’agit de la norme élevée actuelle en matière de protection des données et de consentement.

8. Rédiger ou mettre à jour votre politique de confidentialité

Dans une politique de confidentialité, une organisation doit indiquer clairement quelles données personnelles sont collectées et comment elles seront utilisées. Il doit toujours être à jour et disponible sur le site Web de l’organisation.

9. Évaluer régulièrement les risques liés aux tiers

Être conforme au RGPD ne signifie pas seulement garder votre maison en ordre. Il fait également référence au risque de données présenté par des tiers. Ici, les données peuvent être partagées entre les organisations. Cela nécessite une sensibilisation continue aux risques de sécurité, avec des efforts de correction en place.

Bien qu’aucun système ne puisse être 100 % sans risque, il est essentiel d’évaluer régulièrement les risques potentiels pour la sécurité. Vous voudrez enregistrer vos conclusions et vos actions dans le journal RGPD.

Conclusion

Le maintien de la conformité au RGPD peut demander un travail considérable, mais c’est possible pour toutes les organisations. Le non-respect du RGPD peut entraîner des amendes équivalentes à 4 % du chiffre d’affaires mondial annuel ou à 20 millions d’euros, le montant le plus élevé étant retenu.

Par conséquent, la conformité au RGPD n’est pas une option ; C’est un impératif juridique et financier. Pour de plus amples renseignements, veuillez consulter le règlement de 88 pages lui-même .

Sources:

https://iapp.org/resources/article/iapp-ey-annual-governance-report-2018/
https://gdpr.eu/tag/gdpr/
https://www.upguard.com/blog/how-to-be-gdpr-compliant
https://www.imperosoftware.com/how-to-be-gdpr-compliant/
https://gdpr.eu/what-does-it-stand-for/

Sales & Support