Afin de parvenir à se conformer au RGPD, les sociétés doivent être organisées à tout prix. Il ne faut pas que le processus de mise en conformité RGPD soit considéré uniquement comme une coercition légale ou technique. Certaines méthodes doivent durer un certain temps dans le but d'être fonctionnelles. Quels sont donc les points essentiels à garder en mémoire ?
Nommer un DPD et fixer un registre
Les agences du secteur privé et public, le sous-traitant des organismes ou les responsables de traitement doivent nommer un DPD (Délégué à la Protection des Données). Quand aucun DPD n’est désigné, il est conseillé de nommer un individu pour agir en tant que guide de conformité, en référence aux informations privées. Il est aussi indispensable de percevoir avec précision l’ensemble des traitements d’informations privées appliquées par la société dans le but de se protéger de leur accord. Sur chaque traitement, il faut que le registre contienne des données détaillées, telles que la durée de conservation, les personnes touchées, les catégories de données, les finalités, les destinataires...
Arranger les contrats et légaliser les traitements
Au sens du RGPD, un sous-traitant est une personne qui étudie des informations privées au service du meneur du traitement. Les accords entre les sous-traitants et les meneurs de traitement doivent être convenables au RGPD et doivent être rédigés avec des formulations exigées. Il doit renfermer des termes particuliers et mentionner des données sur le traitement. Si l’accord n’est pas approprié, un contrat de protection d’informations ou un avenant doit être réussi.
Le respect des exigences légales concerne en particulier : le transfert des informations hors de l’Union européenne, les données des personnes touchées (utilisateurs, clients, collaborateurs, etc.), le principe de minimisation, la finalité limitée, la base légale légitime, et la sécurité des données.
Effectuer une étude et instaurer des mécanismes internes
L’exploration de l’impact doit particulièrement comprendre :
· un récit des finalités de traitement étudiées et des opérations, incluant les fonctions réglementaires sollicitées par le meneur du traitement (si nécessaire).
· Une appréciation de sa progressivité et son obligation à la finalité.
· Une estimation des insécurités pour les disponibilités et droits des personnes touchées.
· Une prévision considérée pour esquiver à l’insécurité.
Afin de garantir la conformité à la réglementation et la protection des informations, des procédures internes doivent être développées, en particulier, en ce qui concerne la formation des salariés de la société, les connexions avec les sous-traitants, la sécurité des informations, le devoir des pouvoirs des personnes touchées et la sensibilisation.