/

/

check-list : votre entreprise est-elle déjà en conformité avec le rgpd ? faites le test !

RGDP & Cybersécurité
24 mai 2019

par Evelien Callewaert et Karlien Van Melkebeek

Check-list : votre entreprise est-elle déjà en conformité avec le RGPD ? Faites le test !

Le Règlement Général sur la Protection des Données, RGPD en abrégé, est entré en vigueur le 25 mai 2018. Bien qu’il ne se soit pas passé grand-chose en matière de RGPD au cours de l’année écoulée en Belgique, il y aura certainement du changement l’année prochaine. Vous avez donc tout intérêt à être bien préparé(e). Cette check-list très pratique vous permettra de vérifier rapidement si votre entreprise est ou non déjà en conformité avec le RGPD.

Check-list : votre entreprise est-elle déjà en conformité avec le RGPD ? Faites le test !

ÉTAPE 1 : Examinez si votre entreprise traite des données à caractère personnel.

Selon le RGPD, les données à caractère personnel sont « toutes les informations concernant une personne physique identifiée ou identifiable ». Il s’agit donc de toutes les données permettant d’identifier une personne. Si votre entreprise traite des données de personnes physiques permettant ainsi d’identifier (in)directement celles-ci, votre entreprise traite donc des données à caractère personnel.

ÉTAPE 2 : Établissez un registre des activités de traitement.

Pour être en conformité avec le RGPD, votre entreprise doit satisfaire à cinq règles générales et à la responsabilité y afférente. Il s'agit des règles suivantes : (1) la limitation de la finalité, (2) l’exactitude, (3) la transparence, (4) la minimisation des données et la limitation de la conservation, ainsi que (5) l’intégrité et la confidentialité. Afin de respecter ces règles, vous êtes tenu(e) d’établir un registre des activités de traitement.

ÉTAPE 3 : Communiquez et veillez à permettre à la personne concernée d’exercer ses droits.

Établissez une déclaration de confidentialité indiquant en toute transparence les données qui sont traitées et pour quels motifs. Indiquez aussi les droits que la personne concernée, ou la personne dont vous recueillez des données, peut exercer.

ÉTAPE 4 : Fixez le fondement légal des activités de traitement.

Une entreprise ne peut traiter des données à caractère personnel que pour l’un des motifs suivants :

  • L’autorisation de traiter des données ;
  • Un contrat ;- Une obligation légale ;
  • Un intérêt vital ;
  • L’intérêt général / L’autorité publique ;
  • L’intérêt légitime.

ÉTAPE 5 : S’il est requis, veillez à obtenir le consentement explicite de la personne concernée.

Selon le RGPD, le consentement d’une personne concernée doit toujours résulter d’un acte positif clair dont il ressort que la personne en question accepte librement, spécifiquement, de manière éclairée et univoque que des données à caractère personnel la concernant fassent l'objet d'un traitement. Par ailleurs, la personne concernée doit également pouvoir retirer son consentement aisément.

ÉTAPE 6 : Prenez les mesures de sécurité nécessaires et signalez les fuites de données en temps utile.

Il est important de prendre les mesures de sécurité nécessaires en vue de protéger les données à caractère personnel. Si une fuite de données se produisait néanmoins, il vous incomberait de le communiquer le plus rapidement possible à l’autorité compétente.

ÉTAPE 7 : Intégrez dès le départ la protection des données (DPIA).

Veillez à intégrer, dès le début de l’activité de traitement, un système de protection des données. Partez toujours d’une approche basée sur les risques et procédez, si nécessaire, à une Analyse d’Impact relative à la Protection des Données (AIPD), également connue sous le terme d'analyse d’impact.

ÉTAPE 8 : Le cas échéant, désignez un délégué à la protection des données (DPO).

Désignez un Data Protection Officer (DPO) ou Délégué à la Protection des Données, lorsque la loi le prescrit. À défaut, nous vous conseillons néanmoins de désigner un responsable, qui se chargera de la protection des données à caractère personnel.

ÉTAPE 9 : Tenez compte de l’échange international de données à caractère personnel.

Vous exercez également votre activité au niveau international ? Veillez dans ce cas à obtenir les garanties nécessaires, lorsque vous transmettez des données à des pays tiers.

ÉTAPE 10 : Établissez un contrat de sous-traitance.

Établissez un contrat avec le sous-traitant. Lorsque les données sont traitées par une autre entité, il est important d’établir un contrat de sous-traitance indiquant clairement qui est responsable de quoi.

Vous n’êtes pas tout à fait sûr(e) d’être en conformité avec les dispositions du RGPD ou de la manière d’aborder les choses ? Alors, n’hésitez pas à contacter l’un de nos spécialistes à l’adresse contact@vdl.be.

Partager cet article

Evelien Callewaert

Senior Advisor Legal evelien.callewaert@vdl.be

Karlien Van Melkebeek

Senior Advisor International karlien.vanmelkebeek@vdl.be

Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.


Informations et perspectives

Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.