L’entrée en application du règlement n°2016/679, dit Règlement Général sur la Protection des Données ou RGPD, nécessite d’adopter une nouvelle approche de la protection des données. La mise en conformité de votre structure, ainsi que son évaluation, ont donc changé.

Mathias Avocats a élaboré un questionnaire non-exhaustif afin de vous aider à identifier les éléments à prendre en compte lors de l’évaluation de votre conformité et d’avoir une vue d’ensemble sur les mesures à mettre en œuvre.

1. Le personnel a été sensibilisé et/ou formé pour répondre aux enjeux du RGPD (ex : sécurité, transferts, notions fondamentales…) :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

2. Votre entité a cartographié les flux de données :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable
rgpd-prospection-client-donnees-formation-mathias-avocats

3. Les données à caractère personnel traitées par votre organisme ont été identifiées et réparties en différentes catégories. Si le traitement mis en œuvre concerne des données dites sensibles, les mesures adéquates ont également été prises :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

4. Votre organisme a mis en place des procédures permettant de s’assurer que les données à caractère personnel traitées sont exactes, adéquates, pertinentes et non excessives : 

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

5. La période de stockage des données à caractère personnel traitées par votre organisme n’excède pas la durée nécessaire au regard des finalités du traitement et une procédure de destruction des données a été mise en place :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

6. Le traitement mis en œuvre par votre entité repose sur l’une des conditions de licéité du traitement telles que définies dans le RGPD :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

7. La méthode utilisée pour obtenir le consentement des personnes concernées a été revue, notamment en ce qui concerne les mineurs :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

8. La protection des données à caractère personnel a été incorporée par défaut et dès la conception du traitement (privacy by design et privacy by default) :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

9. Toute action se rapportant à la protection des données à caractère personnel est adéquatement documentée (ex : politique cookies, ententes de partage des données, désignation d’un DPO, procédure de gestion des droits, registre des activités de traitement…) :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

10. Les personnes concernées sont informées de leurs droits, de la manière de les exercer et du traitement mis en œuvre (ex : identité du responsable du traitement, l’existence de transferts, les coordonnées du DPO…) :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

11. Votre entité a sensibilisé et/ou communiqué au personnel les politiques, procédures ou directives indiquant quand le partage ou la divulgation de données à caractère personnel est autorisé :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

12. Les personnes chargées de répondre aux demandes des personnes concernées lors de l’exercice de leurs droits ont été sensibilisées sur la manière d’identifier et de transmettre les demandes à l’équipe ou à la personne approprié ou d’y répondre eux-mêmes :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable
rgpd-recours-formation-mathias-avocats

13. La relation contractuelle avec les sous-traitants est étroitement encadrée et chaque contrat prévoit explicitement les droits et obligation des parties, y compris les clauses impératives sous le RGPD :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

14. Une politique de sécurité du système d’information portant sur le traitement et le stockage des données à caractère personnel ou un document analogue a été élaboré :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

15. Votre entreprise a mis en place des mesures de sécurité appropriées pour protéger les données en transit, reçues par votre entreprise ou transférées à une autre entreprise :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

16. Une analyse des risques, notamment pour les droits et libertés des personnes concernées, a été réalisée et une documentation s’y rapportant élaborée :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

17. Une procédure de notification d’une violation de données à caractère personnel et une procédure de communication d’une telle violation ont été mises en place :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

18. Votre organisme a mis en place des contrôles de conformité ou des procédures de révision pour chacune des actions se rapportant à la protection des données à caractère personnel et ils ont lieu régulièrement :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

19. Votre entité a vérifié si elle devait ou non désigner un DPO et, si tel est le cas, il est intégré à toutes les opérations se rapportant à la protection des données à caractère personnel :

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

20. Le lieu du traitement des données à caractère personnel a été établi. S’il existe des transferts de données ou des traitements transfrontaliers, les mesures nécessaires ont été prises (ex : identifier le type de transfert, déterminer l’autorité de contrôle chef de file…)

  • Pas encore mis en œuvre ou prévu
  • En cours
  • Mis en œuvre
  • Non-applicable

Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre mise en conformité et son évaluation. Le cabinet propose également des formations sur mesure pouvant s’adapter à tout secteur privé ou public. De même, Mathias Avocats peut également être désigné comme DPO externe.