Mon dossier RGPD
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire.
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Votre dossier devra notamment comporter les éléments suivants :
- L'information :
- Les coordonnées du responsable de traitement et de son éventuel Délégué à la Protection des Données (DPO)
- La politique vie privée de l’entreprise
- Les politiques internes propres à l’entreprise
- Le registre des traitements : Celui-ci comprendra à minima les informations suivantes :
- les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
- les catégories de données traitées,
- à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
- combien de temps vous les conservez,
- comment elles sont sécurisées.
- Les contrats qui définissent les rôles et les responsabilités des acteurs
- Les contrats avec les sous-traitants
- Les contrats avec les collaborateurs
- Les procédures internes en cas de violations de données
- Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
A. Présentation Société
Taille de l'entreprise
Secteur d'activité
Détails activités
B. Délégué à la Protection des Données (DPO)
Délégué à la Protection des Données ou Data Protection Officer ?
| Oui | Non | N/A | |
|---|---|---|---|
| Le responsable du traitement a-il nommé un Délégué à la Protection des Données (« DPD ») ? Celui-ci peut être une personne "interne" à la société ou externe. |
C. Collaborateurs
Avez-vous des collaborateurs salariés ?
Quel est le niveau de maturité de votre entreprise ?
| Oui | Non | |
|---|---|---|
| Le responsable du traitement a-t-il informé l’ensemble de son personnel par rapport aux nouvelles exigences du RGPD (campagne de sensibilisation / « awareness campaign »). Cette information peut avoir été communiquée par email, à l'occasion d'une réunion ou autre. La mise en conformité nécessite l'aide de l'entreprise et une bonne sensibilisation est essentielle. |
D. Site Web et Communication.
Avez-vous un site web accessible au public?
Avez-vous un site e-commerce ?
Présence sur les réseaux sociaux ?
Avez-vous une application mobile ?
Site Web et communication
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement dispose d’une Charte Vie Privée / Politique Vie Privée / Clause Vie Privée aisément accessible par le public. Ce document est aisément compréhensible pour le lecteur. Il est rédigé dans un langage clair et a été revu par un juriste, un avocat ou toute autre personne ayant une bonne compétence juridique. | |||
| Récoltez-vous des données personnelles en ligne ? |
E. Registres des traitements.
C. Registres des traitements
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement a fait réaliser un audit afin de répertorier les flux de données et dispose déjà d’une cartographie précise et complète de l’ensemble des données qu’il utilise ou a utilisé. Concrètement, le responsable sait où se trouvent ses données, quelles sont elles, pour quelles raisons elles sont collectées, qui a accès aux données, etc.) | |||
| Le responsable du traitement a écrit des politiques internes afin d’être sûr que les données collectées sont adéquates, nécessaires et pas excessives par rapport aux finalités envisagées par les traitements. | |||
| Le responsable du traitement a établi une politique de rétention des données dans le but d’éliminer régulièrement les données à caractère personnel qui ne sont plus nécessaires. |
F. Bases Juridiques / Fondements
F. Bases Juridiques / Fondements
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement collecte-t-il licitement les données ? A t'il fait vérifier (et documenter) les bases juridiques de chacune de ses activités de traitement ? NB : Les bases juridiques du traitement sont essentielles, la collecte des données peut se faire sur la base d'un consentement de la personne, de l'exécution d'un contrat, afin de satisfaire une obligation légale, la sauvegarde d'un intérêt vital, pour une mission d'intérêt public ou pour la réalisation des intérêts légitimes du responsable du traitement. | |||
| En cas de demande de consentement de la personne concernée, le responsable du traitement connait la façon dont est obtenu le consentement et en conserve la preuve ? | |||
| Le responsable du traitement a un système permettant d’enregistrer et de gérer de façon continue les consentements. | |||
| Le responsable du traitement a-t-il fait réaliser une balance des intérêts lorsque la base juridique de l’activité de traitement sont ses intérêts légitimes? |
G. Traitements Particuliers
G. Traitements Particuliers
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement collecte-t-il et traite t’il des données sensibles (par exemple, les données de santé, croyances religieuses, l’orientation sexuelle, les origines raciales ou ethniques, les opinions politiques, l’appartenance syndicale) ou particulières (données génétiques, données relatives aux infractions pénales, aux condamnation etc., données biométriques, etc.) au sens du RGPD ? | |||
| Le site web du responsable du traitement offre-t-il des services aux enfants ? Le RGPD laisse le soin aux Etats membres de définir l’âge qui doit être pris en compte (en Belgique, par exemple, l’âge de 13 ans a été proposé par le législateur belge). |
H. Droits des Personnes Concernées
H. Droits des Personnes Concernée
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement est-il capable de satisfaire toutes les demandes des personnes concernées dès à présent ? Dans le cadre du GDPR, les personnes ont effectivement certains droits par rapport au traitement de leurs données : droit d’information, droit d’accès et copie des données, droit de rectification, droit d’opposition, droit de limitation, droit à l’effacement/oubli, droit à la portabilité. | |||
| Le responsable du traitement a mis en place une procédure permettant de vérifier que les données personnelles détenues sont exactes et mises à jour de façon continue. |
I. Sécurisation des Données
I. Sécurisation des Données
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement a mis en place des mesures appropriées pour protéger contre la perte ou le vol les données à caractère personnel lorsqu’elles sont transférées à un tiers. | |||
| Le responsable du traitement dispose-t-il de mesures / d’une procédure afin de notifier les failles de sécurité aux autorités et / ou aux personnes concernées ? |
J. Sous-Traitants
J. Sous-Traitants
| Oui | Non | ? | |
|---|---|---|---|
| Les contrats que le responsable du traitement a signé avec des sous-traitants sont conformes au RGPD. Ils ont donc été revus récemment et comportent des dispositions qui encadrent la relation (finalités pour lesquelles les données sont communiquées, responsabilité des parties, etc.). | |||
| La société traite t’elle des données à caractère personnel au nom et pour le compte d’autres sociétés (elle agit donc en qualité de sous-traitant et non plus en qualité de responsable de traitement) ? |
K. Autres Contrats
K. Autres Contrats
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement a-t-il fait réviser l’ensemble de ses contrats (contrat de travail et/ou règlement de travail, fournisseurs, conditions générales de vente, etc.) en conformité avec le GDPR ? |
L. Transferts Hors Union Européenne
L. Transferts Hors Union Européenne
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement transfère-t-il les données à caractère personnel qu’il a collectées en-dehors de l’UE ? |