Inter'MedOffice | Document Unique cabinet d'etudes - conseils & services aux entreprises
Inter'MedOffice | Document Unique

Les actions à mettre en place

Les actions à entreprendre et à pérenniser pour les rendre efficaces

Registres de traitements

Les registres sont sous la responsabilité du Dirigeant de l’entreprise, qui crée le lien et le contact avec toutes les personnes de l’entreprise susceptibles de traiter les données personnelles.

Etablir les registres, c’est avoir une vue d’ensemble des traitements de données.

  • Identifier les activités principales de votre entreprise nécessitant la collecte et le traitement de données
  • Recenser les fichiers (ex : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).
  • Créer une fiche par activité ou traitement recensé en indiquant :
  • Les responsables des traitements, les sous-traitants
  • Les catégories de données utilisées
  • Le descriptif des risques potentiels : violation et piratage informatique, pertes des données…
  • La finalité : Paiement des salaires, Gestion RH, Obligations sociales…
  • Le type de supports / flux : disques durs externes, PC, tablettes, cloud …
  • L’accès aux données : nommer le ou les personnes habilitées à accéder aux données concernées
  • La durée d’utilisation et de conservation des données (période opérationnelle et phase d’archive)
  • Les données nécessitant une analyse d’impact
  • Les mesures de sécurité et de prévention pour protéger les données
  • Hiérarchisation des actions à mener en priorité

Documentation

Une documentation doit être créée attestant de la démarche de mise en conformité du RGPD dans l’entreprise.

En vue de produire la preuve de conformité, il est nécessaire de constituer une documentation regroupant tous les documents, actions et informations réalisés. Cette documentation doit être régulièrement actualisée et mise à jour pour assurer une protection continue des données.

  • Documentation sur les traitements de données personnelles (registres de traitement, analyse d’impact, encadrement des transferts hors de l’UE).
  • Information des personnes (mentions d’informations obligatoires, recueil des consentements, procédure d’exercice des droits)
  • Les contrats entre acteurs (sous-traitant, procédures en cas de piratage des données, justificatif de la preuve des consentement…)
Book 1836434 1920

Registre des sous-traitants

L’entreprise doit tenir un registre des catégories de traitement qu’elle effectue pour le compte de ses clients. Ce registre est obligatoirement tenu par écrit et doit contenir :

  • Les coordonnées de chaque client pour le compte duquel l’entreprise utilise des données personnelles.
  • Le nom et les coordonnées de chaque sous-traitant ultérieur, le cas échéant.
  • Le nom et les coordonnées du délégué à la protection des données, le cas échéant.
  • Les catégories de traitements effectués pour le compte de chaque client.
  • Les transferts de données hors UE effectués pour le compte de vos clients, le cas échéant.
  • Une description globale des mesures de sécurité techniques et organisationnelles qui sont mises en place.
Business 3152586 1920

Recensement et tri des données personnelles

Chaque fiche créée doit faire l’objet d’une vérification et déterminer que :

  • Les données traitées sont réellement nécessaires à l’activité
  • Aucune donnée dite « sensible » n’est collectée ni traitée.
  • Les personnes habilitées sont bien les seules et uniques intervenants dans le traitement des données personnelles dont elles ont besoin.
  • La conservation des données ne dépasse pas la durée définie.
Portfolio 385530 1921

Le droit des personnes : obligation de transparence

Dans le cas où il y a collecte de données personnelles, le support utilisé doit comporter les mentions obligatoires d’information. Cette information doit comprendre entre autres :

  • La raison pour laquelle les données personnelles sont collectées.
  • La raison autorisant la collecte de ces données.
  • Les intervenants.
  • La durée de conservation des données personnelles.
  • Les modalités d’exercice des droits des personnes.
  • La référence aux conditions générales d’utilisations et notamment de la politique de confidentialité via le site internet de l’entreprise.

Au regard du dispositif, l’entreprise doit permettre aux personnes dont elle traite les données (clients, salariés, fournisseurs,)   d’exercer facilement leurs droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. (formulaire de contact spécifique pour les sites web, une adresse de messagerie dédiée…)