Liste de contrôle de la conformité au GDPR

Image of Carlo Cilento

Publié le 16 mai 2023 et modifié le 15 août 2023 par Carlo Cilento

La plupart des entreprises détestent être confrontées au GDPR, et nous pouvons comprendre pourquoi. Les règles peuvent être déroutantes, en particulier pour les petites entreprises qui n'ont pas de personnel juridique en interne.

L'autorité danoise de protection des données a récemment publié une liste de contrôle du GDPR pour les petites entreprises.

Il ne s'agit pas d'une liste exhaustive, mais plutôt d'un point de départ pour évaluer la conformité de votre entreprise. Néanmoins, la liste contient quelques bons conseils et vaut la peine d'être consultée.

Plongeons dans le vif du sujet !

  1. Avoir une vision claire
  2. Demandez-vous : pourquoi ai-je ces données ?
  3. Supprimez vos données
  4. Fournir des informations sur les données que vous traitez
  5. Disposer de procédures solides et claires pour traiter les demandes
  6. Veillez à la sécurité informatique
  7. Vous êtes responsable du partage des données à caractère personnel
  8. Conclusions
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Avoir une vision claire

La première étape pour se conformer au GDPR est de savoir ce que vous faites avec vos données. C'est pourquoi la DPA recommande de commencer par se poser des questions cruciales :

  • Quelles sont les données personnelles que je contrôle et traite ?
  • À qui appartiennent ces données ? S'agit-il de vos employés/clients/utilisateurs ?
  • Où ces données sont-elles stockées ?

Ces questions peuvent sembler triviales, mais elles ne le sont pas. De nombreuses entreprises n'ont qu'une idée très vague des données qu'elles traitent et de la manière dont elles le font, y compris les plus grandes d'entre elles (je vous regarde, Meta).

Comprendre le traitement de vos données est un premier pas indispensable vers la conformité et une exigence de base pour une bonne gouvernance des données. C'est pourquoi la tenue d'un registre des activités de traitement est une obligation légale pour les grandes entreprises en vertu du GDPR (ainsi que pour les petites entreprises qui s'engagent dans un traitement de données à risque un peu plus élevé).

Que vous ne soyez pas tenu de tenir un ROPA ou non, vous devez avoir une vue d'ensemble claire de votre traitement de données. Une image claire et précise met en évidence les éventuels problèmes de conformité et les possibilités d'améliorer et de rationaliser votre traitement des données. Il est également plus facile de répondre aux demandes d'accès en vertu du GDPR, car vous savez déjà où les données sont stockées dans vos systèmes et comment les récupérer.

Si vous souhaitez aller plus loin, vous pouvez cartographier vos flux de données. Nous avons abordé la question de la cartographie des données il y a quelque temps pour donner à nos lecteurs une idée très générale de ce à quoi ressemblent les cartes de données et pourquoi elles sont utiles à la fois pour la conformité et la gouvernance des données.

Demandez-vous : pourquoi ai-je ces données ?

Chaque fois que vous contrôlez des données à caractère personnel, vous devez vous poser la question suivante : "Pourquoi ai-je ces données ? Pourquoi ai-je ces données ? Si vous trouvez une bonne réponse à cette question, vous disposez probablement d'une base juridique au sens du GDPR.

Les bases légales sont une notion cruciale que nous avons déjà abordée il y a quelque temps. Le GDPR exige que tout traitement de données à caractère personnel soit fondé sur une base légale, c'est-à-dire une sorte de justification juridique. Le GDPR propose six bases légales, telles que le consentement, un contrat ou une obligation légale.

Le DPA a résumé les bases juridiques disponibles sous la forme de questions simples que vous devez vous poser :

  • Ai-je le consentement de la personne à laquelle les données se rapportent - ce que l'on appelle la personne concernée ? (consentement)
  • Ai-je besoin des données pour exécuter un contrat avec la personne concernée ? (exécution d'un contrat)
  • Ai-je besoin des données pour exercer une autorité publique ou pour accomplir une tâche d'intérêt public ? (intérêt public ou autorité publique)
  • Suis-je tenu par la loi de conserver ces données ? (obligation légale)
  • Ai-je une autre bonne raison de traiter les données ? Dans l'affirmative, le traitement peut-il causer un préjudice ou des problèmes à la personne concernée ? (intérêt légitime)

(Oui, il s'agit de cinq questions - la base juridique de l'intérêt vital a été laissée de côté parce que son utilisation est très exceptionnelle).

Il va sans dire que les choses sont plus complexes que cela. Chaque base juridique a ses propres limites et exigences. Par exemple, le consentement doit être donné librement, ce qui exclut la possibilité de s'appuyer sur le consentement dans certains cas, comme le traitement des données des employés. La mise en balance de l'intérêt légitime est également plus compliquée que de se demander si le traitement des données d'une personne peut lui porter préjudice (vous pouvez consulter l'ICO britannique pour plus d'informations à ce sujet).

Cela étant dit, la conformité commence par le fait de se poser les bonnes questions, et les questions ci-dessus constituent un bon point de départ.

Vous devez également savoir si vous traitez des données sensibles ou non. Les données sensibles sont des types de données très sensibles telles que les données de santé, l'origine ethnique, les convictions politiques et les données relatives à la vie et à l'orientation sexuelles d'une personne (la liste complète se trouve à l'article 9 du GDPR).

Les données sensibles bénéficient d'une protection spéciale en vertu du GDPR. Il ne suffit pas de disposer d'une base juridique pour les traiter légalement, car des règles plus strictes s'appliquent par rapport aux données à caractère personnel courantes. Si vous traitez des données sensibles, vous aurez peut-être besoin de conseils professionnels sur la manière de vous conformer aux lois sur la protection de la vie privée.

Supprimez vos données

Vous devez supprimer les données à caractère personnel dès que vous n'en avez plus besoin. Il s'agit du principe de limitation du stockage.

Supprimer les données inutiles (et ne pas les collecter en premier lieu !) est à la fois une exigence du GDPR et une bonne idée en général. L'effacement des données inutiles vous permet de libérer de l'espace de stockage. Cela permet également de réduire la taille et l'ordre de vos archives, ce qui facilite la recherche des données en cas de besoin.

Le GDPR ne vous autorise pas à conserver des données parce qu'elles pourraient être utiles un jour. Ne collectez et ne stockez que les données dont vous avez besoin aujourd'hui ou dans le cadre d'un scénario futur spécifique et probable. Votre autorité de protection des données ne vous laissera pas stocker des données à caractère personnel pendant des décennies, jusqu'à ce que nous disposions d'une IA future incroyablement géniale avec laquelle nous pourrons faire des choses incroyablement géniales.

Datatilsynet explique qu'il n'y a pas de période fixe de conservation des données dans le cadre du GDPR. La décision vous appartient car vous savez de quelles données vous avez besoin.

Cela ne signifie pas que vous pouvez faire ce que vous voulez. Si vos périodes de conservation des données sont déraisonnables, vous violez le principe de limitation du stockage et pourriez être tenu pour responsable par une autorité de protection de la vie privée ou un tribunal.

Fournir des informations sur les données que vous traitez

Si vous contrôlez les données d'une personne, vous devez l'informer que vous les traitez. C'est également le cas lorsque vous vous contentez de stocker les données, car le stockage des données est un type de traitement des données au sens du GDPR.

En vertu du GDPR, vous devez fournir un certain nombre d'informations :

  • le nom et les coordonnées de l'entreprise (y compris les coordonnées de votre délégué à la protection des données, si vous en avez un)
  • les données que vous traitez
  • les raisons pour lesquelles vous traitez les données et sur quelle base juridique
  • Avec qui vous partagez les informations
  • la durée de conservation des informations
  • Quels sont les droits du lecteur en matière de données et comment il peut les exercer ?

La liste du Datailsynet est un résumé agréable et lisible de ce qui est requis en vertu des articles 13 et 14 du GDPR. Ces informations constituent votre avis de confidentialité (souvent appelé "politique de confidentialité", bien que les deux ne soient pas exactement identiques).

Vous devez fournir votre avis de confidentialité dans un langage clair et accessible. Laissez de côté le jargon juridique et expliquez au lecteur ce que vous faites de ses données, quels sont ses droits et comment il peut les exercer. C'est plus difficile qu'il n'y paraît, mais c'est une obligation légale.

Une approche à plusieurs niveaux peut s'avérer utile. Un avis de confidentialité à plusieurs niveaux comporte une première couche contenant les informations les plus essentielles sous une forme très simple et lisible. Cette couche renvoie à d'autres pages ou couches contenant des informations plus approfondies sur des sujets spécifiques - par exemple, les garanties que vous mettez en œuvre pour les transferts de données et la signification concrète des droits de la personne concernée.

En essayant d'entasser toutes ces informations dans une seule couche, votre avis de confidentialité deviendrait long et difficile à lire. Un avis stratifié permet donc de trouver un bon équilibre entre le détail et l'accessibilité, à condition de conserver toutes les informations cruciales dans la première couche.

Les avis de confidentialité à plusieurs niveaux sont relativement faciles à mettre en œuvre lorsque vous les fournissez en ligne - pensez aux avis de confidentialité sur les sites web. Dans un contexte différent, vous pouvez parfois fournir un bref avis par d'autres moyens et renvoyer le lecteur à une page web pour plus d'informations.

Si vous êtes curieux, notre exemple d'avis relatif aux cookies pour Google Analytics peut vous donner une idée de ce à quoi ressemble un avis de confidentialité à plusieurs niveaux.

Disposer de procédures solides et claires pour traiter les demandes

Si vous traitez les données d'une personne, celle-ci peut exercer certains droits en vous adressant une demande. Par exemple, elle peut demander l'accès à ses données ou vous demander de les corriger ou de les supprimer.

Lesprocédures sont très importantes pour traiter les demandes, que ce soit dans les grandes ou les petites organisations. Dans une petite organisation, les demandes ne sont généralement pas traitées par des experts juridiques. La mise en place d'une procédure claire pour le traitement des demandes permet de préciser ce que la personne chargée de traiter les demandes est censée faire.

(Par ailleurs, les petites entreprises peuvent confier le traitement des demandes à une seule personne, ce qui facilite leur suivi).

Les grandes organisations sont confrontées à des défis différents. D'une part, elles disposent généralement d'un personnel juridique qualifié qui sait comment traiter les demandes. D'autre part, les mêmes données à caractère personnel sont souvent traitées par différentes équipes et stockées dans différents systèmes. Les différentes équipes doivent donc travailler ensemble pour récupérer ou effacer les données, et une procédure claire est essentielle pour assurer la coordination.

Le Datatilsynet donne d'autres bons conseils pour le traitement des demandes. Par exemple, vous devriez avoir une politique d'identification solide pour les demandes d'accès afin de vous assurer que vous ne tombez pas dans le piège des usurpateurs d'identité.

C'est plus facile à dire qu'à faire, mais en règle générale, vous devriez utiliser les données personnelles dont vous disposez déjà chaque fois que c'est possible. Par exemple, si la demande émane d'un utilisateur de votre site web, vous pouvez lui demander de fournir ses données de connexion et, s'il vous a donné son numéro de téléphone au préalable, vous pouvez lui envoyer un code d'authentification sur son téléphone. Ne demandez pas d'autres informations personnelles (comme une pièce d'identité) à moins que cela ne soit strictement nécessaire.

Le site web de Datatilsynet contient des informations plus utiles sur la manière de traiter les demandes. Si votre langue n'est pas le danois, vous pouvez également consulter le site web de l'ICO britannique.

Les autorités traitent de nombreux cas liés à ces demandes, et nous ne sommes donc pas surpris de les voir figurer dans la liste de contrôle de Datatilsynet. Elles sont une source fréquente d'amendes et de problèmes juridiques pour les organisations, alors assurez-vous de les traiter correctement.

Veillez à la sécurité informatique

Vous devez traiter les données d'autrui en toute sécurité. Pour ce faire, vous devez vous préoccuper de la sécurité technique et organisationnelle.

Lasécurité technique est celle qui vient à l'esprit lorsque l'on parle de sécurité informatique : pare-feu, cryptage, sauvegardes, etc. Pour les petites entreprises, il peut s'agir de choses simples mais importantes telles que la mise à jour de tous les logiciels, l'utilisation d'un bon antivirus et d'un bon pare-feu, la formation du personnel à la reconnaissance des courriels d'hameçonnage et la réalisation de sauvegardes régulières des systèmes.

D'autre part, la sécurité organisationnelle consiste à réglementer l'accès aux données au sein de l'organisation et à veiller à ce que les données ne puissent être consultées que par les membres du personnel qui en ont réellement besoin. Les petites entreprises n'ont probablement pas besoin d'un système d'autorisation compliqué.

Toutefois, il peut être judicieux de protéger certaines données par un mot de passe ou de créer différents comptes avec différents privilèges sur le même ordinateur. Le Datatilsynet suggère d'autres précautions importantes, telles que le verrouillage de l'écran lorsque vous quittez votre ordinateur et l'effacement de toutes les données des appareils avant leur mise au rebut.

Lesobligations en matière de sécurité sont proportionnelles aux risques. Vous n'aurez pas besoin d'un cryptage de données de pointe si vous ne traitez que les informations de facturation de vos clients et les données des employés pour leurs fiches de paie. En revanche, les organisations qui traitent des données sensibles, telles que des données médicales ou des données de localisation, peuvent être tenues de respecter des normes de sécurité plus strictes, quelles que soient leur taille et leurs ressources.

Vous êtes responsable du partage des données à caractère personnel

Vous pouvez vouloir partager des données à caractère personnel pour de nombreuses raisons. Vous dépendez peut-être d'un responsable du traitement des données pour votre courrier électronique, votre logiciel de ressources humaines ou votre système d'analyse du web. Ou bien vous voulez partager les données avec quelqu'un d'autre qui les utilisera à ses propres fins - par exemple, la façon dont les hôpitaux divulguent des données aux instituts de recherche.

Dans tous les cas, vous êtes responsable de la décision de partager des données à caractère personnel. Vous devez vous assurer que les données seront traitées correctement après leur divulgation et informer les personnes dont vous partagez les données.

Vous devez également vous assurer que vous êtes autorisé à divulguer les données en premier lieu. Revenez au point numéro deux et posez-vous la question suivante : ai-je une très bonne raison de divulguer ces données ?

Conclusions

Cela semble être beaucoup de choses à garder à l'esprit. C'est pourquoi les détracteurs du GDPR affirment qu'il fait peser une charge trop lourde sur les organisations, en particulier les plus petites.

Cette critique n'est pas dénuée de fondement. Le GDPR tente d'atténuer les charges de conformité en limitant certaines obligations de conformité aux grandes entreprises ou aux cas où elles sont absolument nécessaires. Néanmoins, les règles sont loin d'être simples et peuvent être difficiles à gérer.

Mais certaines règles sont nécessaires. Le traitement des données à caractère personnel est intrinsèquement risqué. Une entreprise ne devrait pas stocker et transporter du carburant sans aucune norme de sécurité. C'est pourquoi il existe partout des règles de sécurité pour ces activités. Il en va de même pour le traitement des données : À l'heure actuelle, de plus en plus de gouvernements dans le monde prennent conscience des risques liés au traitement des données à caractère personnel et fixent des règles en matière de protection de la vie privée.

La meilleure façon de se conformer à ces règles est de ne traiter aucune donnée personnelle. Mais dans la plupart des cas, ce n'est tout simplement pas possible.

La deuxième chose à faire est de garder à l'esprit la minimisation des données. Nous avons déjà écrit à ce sujet et, en résumé, la minimisation des données consiste à ne collecter que les données dont vous avez réellement besoin. Moins vous contrôlez de données, moins vous devez vous préoccuper de la conformité.

Chez Simple Analytics, nous sommes très attachés à la minimisation des données. Nous avons créé Simple Analytics pour fournir à nos clients des analyses et des informations de qualité sans collecter de données personnelles. Cela permet aux entreprises de prospérer tout en effectuant des analyses d'une manière éthique et respectueuse de la vie privée. Si cela vous convient, n'hésitez pas à nous essayer !

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours