Première Etape de mise en conformité GDPR à faire soi-même

Réalise une mapping de vos données

Pour vous conformer au GDPR, la première étape est de faire un mapping de vos données afin de clarifier votre situation.


Si vous souhaitez plus d’informations générales sur le GDPR, vous pouvez lire cet article de notre blog juridique. 

Quelles sont les données concernées par le GDPR ?

Le GDPR est applicable pour toute structure traitant (comprendre utilisant) des « données personnelles » sur une personne présente dans l’Union Européenne. Par donnée personnelle, il faut comprendre toute information permettant d’identifier la personne concernée.

Quelles données personnelles traitez-vous ?

Pour évaluer l’ampleur de la tâche, il convient de vous demander où est-ce que vous avez des données personnelles. Le plus simple est de réfléchir en fonction de vos activités :

Quelles données avez-vous sur vos clients, vos fournisseurs ou vos équipes ? Avez-vous une mailing list pour vos newsletters ? Que faîtes-vous des CV reçus une fois le recrutement passé ? Collectez-vous des données sur les visiteurs de votre site web ?

Comment traitez-vous les données personnelles ?

Un traitement de donnée peut par exemple être l’enregistrement dans une mailing list, l’envoi d’informations… c’est, en résumé, une utilisation des données personnelles.

Il convient donc de vous demander ce que vous faites avec chaque donnée personnelle, une fois celles-ci référencées.

Profitez-en pour vérifier combien de temps vous conservez ces données, c’est une information importante pour votre mise en conformité.

Il est aussi important de déterminer si vos fournisseurs traitent des données pour vous (sous-traitants) et de vous assurer de leur conformité avec le GDPR.

Ces données sont-elles suffisamment sécurisées ?

Pour savoir si vos données sont suffisamment sécurisées, il faut commencer par savoir où et comment sont stockées ces données. Ensuite, il faut vérifier la sécurité des modes d’accès.

Par exemple, vous pouvez vérifier les processus internes : les ordinateurs et les accès sont-ils verrouillés en l’absence de la personne compétente ? Vous pouvez aussi vérifier que vos systèmes ne sont pas hackables…

Avez-vous le droit de traiter ces données ?

Une fois à ce stade-ci, vous avez déjà un aperçu plus clair de vos données et de votre situation. Il convient désormais de vérifier si vous avez le droit de traiter ces données.

Le consentement de la personne concernée doit notamment être libre et explicite. Est-ce bien le cas pour toutes les données reprises ci-dessus ? Avez-vous contrôlé vos conditions générales et vos contrats ? Il est plus prudent de faire vérifier votre travail par un cabinet d’avocats spécialisé, comme www.attorneygdpr.eu

Vous pouvez aussi demander de l’aide à un avocat en ligne.

En effet, si les premières étapes sont facilement réalisables seul, mieux vaut vous appuyer sur l’avis de spécialistes, qui pourront vous guider, voire vous donner accès à des templates (www.attorneygdpr.eu peut par exemple vous envoyer un exemple de registre de données très bien fait).

Disclaimer : Cet article est simplement écrit à titre indicatif et simultanément à la date de publication, en Belgique. Les lois étant en effet susceptibles d'évoluer dans le temps, et de changer en fonction des régions, il est préférable de consulter un avocat pour vous accompagner.