Prioriser les actions à mener
Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.
Points d’attention quels que soient vos traitements
- Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
- Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale)
- Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du règlement)
- Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
- Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)
- Vérifiez les mesures de sécurité mises en place.
Points d’attention nécessitant une vigilance particulière
Vous traitez certains types de données
- des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
- des données concernant la santé ou l’orientation sexuelle,
- des données génétiques ou biométriques,
- des données d’infraction ou de condamnation pénale,
- des données concernant des mineurs.
Votre traitement a pour objet ou pour effet
- la surveillance systématique à grande échelle d'une zone accessible au public ;
- l'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative.
Vous transférez des données hors de l'Union européenne
- vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne ;
- dans le cas contraire, encadrez vos transferts.
Si vos traitement répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer (exemple : analyse d'impact relative à la protection des données (AIPD), information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, ). Une analyse approfondie de la loi informatique libertés et du règlement est nécessaire pour déterminer les mesures à mettre en œuvre.
Les outils pour vous aider
Pour aller plus loin
- Article 6- Licéité du traitement
- Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
- Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
Vous aurez franchi cette étape si
- Vous avez mis en place les premières mesures pour protéger les personnes concernées par vos traitements
- Vous avez identifié les traitements à risque
