Liste de contrôle de conformité RGPD pour PME

Utilisez cette liste de contrôle de conformité au RGPD pour confirmer que toutes les bases sont couvertes. Vous trouverez plus de détails sur chacun des contrôles de conformité au RGPD en suivant les liens ci-dessous.

GDPR Compliance Checklist

1. Nommer un coordinateur de la confidentialité

Notre première recommandation sur notre liste de contrôle de conformité au RGPD est de faire en sorte de nommer quelqu’un au courant de la conformité au RGPD.

Pour les petites entreprises, il est fortement recommandé d’avoir un collègue ou un cabinet externe spécialisé sur place pour organiser la mise en conformité RGPD de l’entreprise sans l’appeler DPO (pour éviter les exigences strictes qui vont avec). Les petites et moyennes entreprises nomment souvent un coordinateur du RGPD et le régulateur encourage les entreprises à le faire. Il met l’accent sur les efforts tout en fournissant à l’entreprise un point de contact unique pour le monde extérieur vers lequel se tourner en cas de questions ou de défis.

Seules les organisations qui effectuent un traitement à grande échelle des données personnelles sont tenues de désigner un délégué officiel à la protection des données. Le RGPD impose des exigences explicites à la fonction DPO afin de préserver son indépendance.

2. Avoir une politique de confidentialité adaptée à votre entreprise

La deuxième chose à faire sur notre liste de contrôle de conformité au RGPD est d’avoir une politique de confidentialité appropriée. Sans cela, vous n’êtes certainement pas conforme au RGPD.

L’une des principales exigences du RGPD est l’obligation d’informer les personnes concernées sur l’utilisation des données par l’entreprise et la position et les dispositions en matière de confidentialité associées. Ce n’est que lorsque les personnes qui interagissent avec votre entreprise sont dûment informées qu’elles peuvent prendre une décision éclairée quant à leur volonté ou non de conclure des affaires avec votre entreprise. Le simple fait de copier et de coller une déclaration de confidentialité sur Internet est susceptible de causer plus de tort que de bien. Le RGPD exige que vos communications soient spécifiques au mode de fonctionnement de l’entreprise. Boilerplate ou attrape toutes les déclarations standard ou passe-partout, le jargon juridique vague ou trop complexe est explicitement déclaré non conforme dans le règlement RGPD.

En bref, accordez à la vie privée l’attention qu’elle mérite et faites-le correctement. Assurez-vous que votre politique de confidentialité couvre au minimum les éléments ci-dessous:

  1. Énoncé clair des responsabilités: qui est le responsable du traitement, qui est le sous-traitant et qui est votre contact clé pour le RGPD
  2. Répertoriez les processus qui touchent aux données personnelles, par exemple accueil des clients, facturation, rémunération du personnel, newsletter, etc.
  3. Pour chacun des processus, assurez-vous de saisir son objectif commercial, sa base juridique RGPD et les éléments de données utilisés. Indiquez également combien de temps vous conserverez les données.
  4. Répertoriez les processus qui partagent des données personnelles et avec lesquels vous partagez des données, par ex. les données que vous partagez avec votre comptable, votre partenaire de support informatique, etc. ou via l’utilisation de plateformes cloud, par ex. Facebook, Mailchimp, Stripe, etc.
  5. Assurez-vous que votre politique de confidentialité et les processus qu’elle contient couvrent vos interactions en ligne / numériques, par ex. formulaire de demande de devis ainsi que vos interactions en magasin / bureau, par ex. carte de fidélité en magasin.
  6. Si votre entreprise utilise les médias sociaux, assurez-vous d’avertir les utilisateurs que les plateformes de médias sociaux traitent leurs données personnelles et mentionnez que votre entreprise et la plate-forme sont susceptibles d’être considérées comme responsables du traitement conjoint.
  7. Répertoriez les droits relatifs aux données RGPD dont disposent vos utilisateurs et comment ils peuvent les exercer
  8. Indiquez comment les utilisateurs peuvent vous contacter et, si nécessaire, déposer une plainte auprès de l’autorité compétente. Notez que le régulateur vous recommande d’établir un canal de communication dédié pour toutes les questions liées à la confidentialité. Évitez donc de réutiliser info@mycompany.com et configurez une boîte aux lettres dédiée privacy@mycompany.com.

Enfin, publiez votre politique de confidentialité sous forme de lien de premier niveau sur votre site Web, par exemple dans le pied de page de votre site Web. Assurez-vous que le lien est visible sur toutes les pages. Ne cachez pas votre politique de confidentialité dans aucun document de conditions générales, car le RGPD exige qu’elle soit directement et bien visible.

Si tout cela semble un peu trop, sachez que GDPRWise vous permet d’obtenir une politique de confidentialité appropriée très rapidement et facilement. GDPRWise a fait le gros travail pour vous en créant des dossiers remplis très spécifiques et adaptés à votre secteur d’activité. Nous avons fait 80% du travail, il ne vous reste plus qu’à valider et affiner.

3. Faites référence à votre politique de confidentialité dans toutes vos communications

La troisième chose à faire sur notre liste de contrôle de conformité au RGPD est de tirer parti du travail que vous avez investi dans la création de votre politique de confidentialité en la mettant à profit dans toutes vos communications.

Le simple fait de publier une bonne politique de confidentialité sur votre site Web ne suffit pas. Vous devez également faire clairement référence à votre politique de confidentialité dans chaque communication. Pour les communications numériques, vous devez ajouter un pied de page à vos e-mails et communications marketing / newsletter. Faites référence à votre politique de confidentialité dans vos devis, publicités, pages de réseaux sociaux, conditions générales et autres contrats. Dans le cas d’un contrat de travail, assurez-vous d’avoir une politique de confidentialité du personnel spécifique et ajoutez-la sous forme d’addendum (voir également ci-dessous).

Les entreprises se sont vu infliger une amende pour avoir simplement fait référence à leur site Web et ne pas avoir explicitement fait référence à leur politique de confidentialité. Si vous ne savez pas comment créer un pied de page, demandez à votre partenaire de support informatique.

4. Si vous définissez des cookies, utilisez une fenêtre contextuelle de cookies

Ce quatrième élément est ce à quoi beaucoup de gens associent le RGPD, les redoutables popups de cookies!

Les cookies enregistrent généralement des informations qui peuvent vous être attribuées en tant qu’individu, en d’autres termes traitent vos données personnelles. Le RGPD exige que toutes les entreprises fournissent la transparence sur les raisons et la manière dont vos données personnelles sont utilisées et, par conséquent, avant que les entreprises ne puissent enregistrer un cookie, elles doivent demander votre autorisation. Ces cookies peuvent sembler ennuyeux, mais nous donnent à chacun la possibilité de contrôler ce que nous autorisons ou non. Nous pourrions, par exemple, ne pas autoriser le suivi sur Internet.

En tant que propriétaire de site Web, vous devez vous demander si vous ne pouvez pas vous passer des cookies. N’utilisez pas uniquement des cookies parce que votre site Web est fourni avec ces cookies, ou parce que la plupart des autres sites Web semblent utiliser des cookies pour suivre les visiteurs. Notre propre site Web, GDPRWise.eu, ne contient aucun cookie. La vie privée est une question sérieuse (et un esprit de droit humain vous …) alors prenez une décision bien informée et consciente à ce sujet. Notre base de connaissances peut vous aider ici.

Si vous avez des cookies, vous devrez en informer vos visiteurs AVANT de définir / d’enregistrer. Le visiteur doit être informé dans un langage simple et vous devez vous assurer qu’un consentement sans ambiguïté est reçu avant de continuer. Il existe de nombreux outils pour vous fournir une bannière ou une fenêtre contextuelle de cookies, mais assurez-vous de tester votre site Web pour que: (1) AUCUN cookie n’est défini avant que l’utilisateur n’ait été informé et puisse communiquer ses choix; et (2) seuls les cookies que l’utilisateur a acceptés sont définis. Dans le cadre de votre devoir d’informer le visiteur, il est recommandé d’avoir un document de politique de cookies qui décrit quels cookies sont utilisés et comment cela affecte les utilisateurs. En outre, vous devez informer l’utilisateur de la manière dont il peut révoquer tout consentement donné et supprimer tous les cookies définis.

5. Le marketing direct doit mentionner la source et fournir une option de refus

Ce cinquième élément de notre liste de contrôle de conformité au RGPD semble assez simple, mais nécessite de la discipline pour bien fonctionner.

La première exigence ici est de révéler la source des informations personnelles au destinataire. Soit les données personnelles du destinataire ont été obtenues directement du destinataire, soit indirectement d’une autre source. Au cœur du règlement RGPD est votre devoir d’informer et de fournir la transparence autour du traitement des données personnelles, de sorte que la source de toutes les données personnelles doit être capturée. Cela nécessite que vous ayez les bons processus et la discipline en place pour enregistrer à tout moment l’origine des informations personnelles.

Dans le même temps, les e-mails de marketing direct doivent offrir aux destinataires un moyen de refuser de telles communications futures afin de se conformer aux exigences du RGPD. Ceci est généralement réalisé en ajoutant un lien ou un bouton de désinscription au bas de l’e-mail afin que le destinataire puisse se désinscrire de votre liste de diffusion. La plupart des plateformes marketing (par exemple Mailchimp) offrent la fonctionnalité de désactivation par défaut, il devrait donc vous être très facile de vous conformer à cette exigence. Le plus difficile est de s’assurer que ces personnes ne reçoivent plus ce type de communications à l’avenir. Cela vous oblige à mettre en place les bons processus et la bonne discipline. Notez que les utilisateurs qui se sont désabonnés et qui reçoivent par la suite une communication marketing similaire pourraient très bien déposer une plainte auprès du régulateur. Le régulateur a déjà émis des amendes pour non-respect de cette exigence du RGPD!

Notez que si vous utilisez une plate-forme de marketing, vous partagez en fait certaines informations personnelles (par exemple, adresse e-mail personnelle, noms, etc.) de votre public marketing avec la plate-forme de marketing. Ajoutez donc la plate-forme marketing en tant que tiers dans la section de votre politique de confidentialité qui décrit le partage de données de données personnelles.

Le marketing direct a été une source de désagrément pour de nombreux consommateurs et la plupart des régulateurs nationaux ont fait de gros efforts pour mieux informer et éduquer leur public en publiant des lignes directrices. Consultez donc votre site Web de l’autorité nationale de protection des données pour les directives. À titre d’exemple, vous pouvez trouver ici le guide pour la Belgique .

6. Tenir un registre RGPD

Ce sixième élément de notre liste de contrôle de conformité au RGPD est celui que le régulateur demandera s’il vient frapper à votre porte.

Le RGPD exige que toutes les entreprises tiennent un registre des activités de traitement, souvent appelé registre RGPD. Votre registre RGPD doit contenir une liste de tous les traitements que votre entreprise entreprend sur des données personnelles. Les données personnelles peuvent être celles de vos clients, employés, fournisseurs, partenaires, etc. et toutes doivent être incluses dans le registre. Vous devez tenir des registres séparés pour les activités où vous êtes le contrôleur des données et celles où vous êtes sous-traitant.

Consultez le site Web de l’autorité nationale de protection des données pour des directives sur le format du registre et les informations doivent être incluses.

Alternativement, vous pouvez rejoindre GDPRWise car vous pouvez générer votre registre RGPD en un seul clic une fois que vous avez validé le dossier rempli que nous créons sur la base de votre secteur d’activité et votre pays d’enregistrement.

7. Avoir une politique de confidentialité du personnel

Ce septième élément est souvent négligé, mais comme les défis liés au RGPD proviennent souvent de relations de personnel rompues, il devrait être fermement sur votre radar pour bien faire.

Les exigences du RGPD et son ensemble de règles couvrent le traitement des données personnelles de toutes les personnes concernées et pas seulement de vos clients. Chaque entreprise qui a du personnel sur sa liste de paie ou indirectement en contractant des employés indépendants, détiendra des données personnelles afin d’intégrer, de rémunérer, d’évaluer, de former, d’assurer, etc. ces personnes. Les données personnelles traitées diffèrent généralement beaucoup de ce qui est traité sur vos clients. En conséquence, il est logique de disposer d’une politique de confidentialité du personnel dédiée afin de se conformer à l’exigence du RGPD pour informer votre personnel sur les données que vous traitez et les dispositions de confidentialité et de sécurité associées.

Comme pour votre politique de confidentialité client, GDPRWise peut en faire un processus rapide et facile car nous avons déjà fait le travail pour vous et créé un profil par secteur industriel spécifique qui vous donnent déjà la plupart des réponses.

8. Utilisez-vous des données de catégorie spéciales?

Le huitième élément de notre liste de contrôle de conformité au RGPD indique très clairement que tous les éléments de données ne sont pas égaux sous le RGPD.

Certaines données sont particulièrement sensibles et nécessitent par conséquent des garanties supplémentaires pour assurer leur protection. Ces données de catégorie spéciale couvrent les éléments qui:

  • révéler l’origine raciale ou ethnique
  • révéler des opinions politiques
  • révéler des croyances religieuses ou philosophiques
  • révéler l’appartenance à un syndicat
  • sont des données génétiques
  • correspond à des données biométriques
  • concerne la santé d’un individu
  • concerne l’orientation ou l’activité sexuelle d’un individu

Parce que ces éléments de données sont particulièrement sensibles, une entreprise doit avoir une raison légitime et légale de collecter, stocker, transmettre ou traiter ces données. Il est interdit aux entreprises de collecter ou de traiter ces données sauf si:

  • Le consentement explicite a été obtenu de la personne concernée; ou,
  • Le traitement est nécessaire pour remplir les obligations et exercer les droits spécifiques du responsable du traitement pour des raisons liées à l’emploi, à la sécurité sociale et à la protection sociale; ou,
  • Le traitement est nécessaire pour protéger les intérêts vitaux des personnes concernées lorsque les personnes sont physiquement ou juridiquement incapables de donner leur consentement; ou,
  • Le traitement est nécessaire pour établir, exercer ou défendre des actions en justice, pour des raisons d’intérêt public substantiel ou pour des raisons d’intérêt public dans le domaine de la santé publique; ou,
  • À des fins de médecine préventive ou de médecine du travail; ou,
  • Le traitement est nécessaire à des fins d’archivage dans l’intérêt public, de recherche scientifique, historique ou à des fins statistiques; ou,
  • Le traitement concerne les données personnelles qui sont manifestement rendues publiques par la personne concernée; ou,
  • Le traitement est effectué dans le cadre de ses activités légitimes avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif ayant un but politique, philosophique, religieux ou syndical et à condition que le traitement porte aux membres ou aux anciens membres de l’organisme ou aux personnes qui ont des contacts réguliers avec lui dans le cadre de ses finalités et que les données personnelles ne sont pas divulguées en dehors de cet organisme sans le consentement des personnes concernées.

Les données personnelles relatives aux infractions pénales et aux condamnations ne sont pas incluses, mais des garanties de traitement distinctes sont en place. L’article 10 du RGPD vous donnera plus d’informations à ce sujet.

9. Examiner les pratiques de sécurité

L’élément numéro neuf de notre liste de contrôle de conformité au RGPD est un véritable casse-tête pour la plupart des grandes entreprises compte tenu de leur empreinte, mais pour les petites et moyennes entreprises, cela devrait être très faisable.

Pas de confidentialité sans mesures de sécurité appropriées. Par exemple, nous sommes sûrs que vous conviendrez que vous ne pouvez pas garantir la confidentialité des données personnelles de vos clients si leurs données étaient stockées dans un fichier en ligne accessible sans nom d’utilisateur ni mot de passe. En d’autres termes, la confidentialité et la sécurité vont de pair.

Il est important de noter que la sécurité n’est pas une chose, mais un ensemble d’approches, de pratiques et de mesures qui ne sont aussi solides que leur maillon le plus faible. Nous avons créé un élément de la base de connaissances Sécurité des données – ce qu’il faut considérer pour votre bénéfice. Les éléments de la base de connaissances associés comprennent également des conseils pratiques tels qu’une liste de questions que vous pouvez poser à votre partenaire de support informatique.

Lorsque vous êtes au courant des bases de la sécurité des données, il vous est conseillé, à vous et à votre partenaire de support informatique, de tirer parti de votre registre RGPD et de parcourir la liste des systèmes utilisés. Au minimum, vous souhaitez examiner les aspects ci-dessous:

  • La sécurité physique est-elle appropriée?

    • Le système se trouve-t-il dans un emplacement physique convenablement sûr et sécurisé? Pour tous les systèmes qui sont des systèmes cloud de renommée mondiale (par exemple, Microsoft.com, Shopify.com), la réponse est principalement Oui et attestée par les certifications de sécurité qu’ils ont obtenues et publiées. Pour tous les systèmes hébergés par votre entreprise, vous voulez vous assurer que vous avez mis en place des mesures pour vous assurer que seules les personnes appropriées peuvent accéder aux locaux, au bureau, à la salle des serveurs de la boutique, au classeur, etc. Pour les inévitables documents papier que la plupart des entreprises détiennent encore, nous avons a créé un élément de base de connaissances dédié .

  • La sécurité du système et du logiciel est-elle appropriée?

    • Consultez notre base de connaissance sur le sujet. Il y a un certain nombre d’aspects que vous devriez examiner et des mesures que vous pouvez appliquer. Quelques exemples ici: tous les systèmes ont-ils les derniers correctifs de sécurité appliqués? Tous les systèmes disposent-ils d’un contrôle d’accès approprié? Dans la mesure du possible, avez-vous activé l’authentification à deux facteurs? Le système applique-t-il des mots de passe forts? Pouvons-nous supprimer ou masquer les éléments de données que nous n’utilisons pas conformément au principe de minimisation des données du RGPD?

  • La sécurité des données est-elle appropriée?

    • Pour la PME, il y a deux aspects essentiels à vérifier ici: les sauvegardes et le cryptage des données. Confirmez que les systèmes sont sauvegardés et que ces sauvegardes se trouvent dans un endroit sûr. En même temps, vous souhaitez tester de temps en temps qu’une restauration peut être exécutée avec succès. Du côté du cryptage des données, confirmez que toutes les données personnelles sont cryptées à la fois au repos et en transit. Consultez notre élément de base de connaissances dédié sur la sécurité des données.

  • Toutes les mesures sont-elles régulièrement revues?

    • Vos défenses de sécurité nécessitent un examen et des mises à jour réguliers. Cela est vrai non seulement pour votre équipement et votre infrastructure, mais également pour les humains qui les exploitent et les utilisent. Nous voulons souligner l’importance de ne pas négliger le facteur humain comme cela a été prouvé être le maillon le plus faible d’une défense de sécurité et de confidentialité. Vous devez vous assurer que les bonnes habitudes de sécurité et de confidentialité sont pensées et appliquées au quotidien de votre entreprise. Il existe de nombreuses plateformes d’apprentissage en ligne qui offrent une formation sur la sensibilisation à la sécurité et une formation sur la confidentialité des données à des prix très abordables. S’assurer que tous les nouveaux arrivants et tout le personnel suivent ces cours de formation au moins une fois par an est essentiel pour gérer une opération sécurisée et respectueuse de la confidentialité. Il est recommandé de mettre en œuvre un code de conduite qui inclut la sécurité et la confidentialité ainsi que d’autres pratiques commerciales éthiques.

10. Opérationnaliser les droits RGPD

Cette dixième vérification de notre liste de contrôle de conformité au RGPD devrait être assez simple à mettre en œuvre.

Le règlement RGPD stipule que les personnes concernées ont désormais des droits qu’elles peuvent exercer en ce qui concerne le traitement de leurs données personnelles. Les plus connus sont probablement le droit d’accès et le droit à l’oubli. Il existe en fait 9 de ces droits et ils sont décrits dans nos articles de base de connaissance dédié au sujet des droits de données .

Outre l’exigence de lister les données directement dans votre politique de confidentialité, votre entreprise doit bien sûr également les opérationnaliser. En d’autres termes, lorsqu’un client demanderait à être oublié et que ses données soient supprimées, que vous ayez les processus et les capacités en place pour supprimer (ou anonymiser) les données. En cas de doute, ou si l’on souhaite plutôt sous-traiter cet aspect, de nombreuses entreprises offrent ces services liés au coordonnateur de la protection de la vie privée à des tarifs généralement abordables.

11. Formation de sensibilisation à la confidentialité pour tout le personnel traitant des données personnelles

Dans l’espace des données et de la technologie, le facteur humain est souvent négligé. Ne vous y trompez pas, cette onzième vérification de notre liste de contrôle de conformité au RGPD est aussi importante que tout autre élément, sinon plus important.

À maintes reprises, l’humain s’est avéré être le maillon le plus faible d’une défense de la sécurité et de la vie privée. Vous pouvez mettre en œuvre les meilleures mesures de sécurité tout au long, mais si un collègue clique sur un lien dans un e-mail malveillant (hameçonnage) et est dirigé sans le savoir vers un faux site Web où son identifiant et son mot de passe d’entreprise sont volés, vos défenses de sécurité sont en danger. De même, c’est par erreur humaine qu’un collègue met tous vos clients en CC plutôt qu’en BCC ou un collègue qui par erreur envoie un dossier médical au mauvais patient.

Il faut s’assurer que les bonnes habitudes de sécurité et de confidentialité sont pensées et appliquées au quotidien de votre entreprise. Il est recommandé de mettre en œuvre un code de conduite qui inclut la sécurité et la confidentialité ainsi que d’autres pratiques commerciales éthiques. Il existe des pratiques dangereuses dans la plupart des entreprises qui peuvent facilement être traitées grâce à une formation de sensibilisation. Nous avons créé un élément de base de connaissances dédié sur le sujet.

12. Signaler une infraction

Le régulateur est très attaché à ce douzième élément de notre liste de contrôle de conformité au RGPD et il a entraîné un certain nombre d’amendes lorsque les entreprises ne se sont pas conformées.

Tout d’abord, notez qu’une violation ne se limite pas à un pirate informatique violant votre réseau. Une violation de la sécurité est tout incident entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des données personnelles, qu’elles soient stockées, transmises ou autrement traitées. Ainsi, un collègue qui envoie un rapport financier au mauvais client est également une violation, tout comme un collègue qui perd une clé USB contenant des données personnelles ou que quelqu’un supprime accidentellement des données personnelles.

Toutes les violations doivent être enregistrées en interne dans un journal des violations de données qui doit être conservé par votre entreprise. Certaines violations doivent être signalées au régulateur et éventuellement même aux personnes concernées par la violation. Consultez notre base de connaissances consacrée au sujet de la violation de données .

13. Considérations internationales

Ce treizième élément de notre liste de contrôle de conformité au RGPD concerne deux types d’entreprises: celles basées en dehors de l’UE mais desservant le marché de l’UE et celles exerçant des activités dans plus d’un État membre de l’UE. Ceux qui ont des points de contact avec le Brexit voudront peut-être également y prêter attention.

L’article 27 du règlement RGPD exige que toute entreprise basée en dehors de l’UE mais desservant le marché de l’UE ait un représentant basé dans l’UE. En d’autres termes, ces entreprises ont besoin d’un Data Rep basé dans l’UE. Le moyen le plus rentable pour les PME est de se procurer un service Data Rep auprès d’un certain nombre d’offres commerciales sur le marché ou de contacter un cabinet d’avocats basé dans l’UE pour y répondre. rôle.

Pour les entreprises exerçant des activités de traitement de données dans plus d’un État membre de l’UE, le règlement RGPD stipule que l’autorité nationale qui prendra la tête de toute question relative au RGPD est déterminée en fonction de l’endroit où votre entreprise a son administration principale ou de l’endroit où les décisions concernant le traitement des données sont fabriqué.

Au moment de la rédaction de cet article, le Brexit n’est que d’un mois et l’accord de retrait stipule un délai de grâce maximal de 6 mois où rien ne change. Si et quand il y a une mise à jour, cette vérification sera mise à jour.

Clause de non-responsabilité
Les informations fournies ici ne sont pas des conseils juridiques et ne peuvent remplacer les conseils juridiques pour vos besoins spécifiques. Certaines informations décrites peuvent ne pas s’appliquer à vous ou s’appliquer très différemment. Veuillez consulter votre conseiller juridique pour vous assurer de respecter vos obligations légales.