GDPR Data-driven marketing Smart data

Checklist RGPD - Étapes à suivre pour la mise en conformité

12 avr. 2018

En mai 2018, le RGPD est entré en vigeur.  Ce nouveau règlement requiert une gestion adéquate des données. Afin de vous aider à maintenir votre conformité, les experts Bisnode ont élaboré une checklist RGDP des principales conditions à remplir. 

Même si cette liste reprend des tâches que votre équipe marketing peut assurer, envisagez de faire appel à une équipe de juristes. Ceci est particulièrement important pour les grandes organisations. 

Comment se mettre en conformité et éviter une amende : 

1.    Définissez votre périmètre d’activité  

Le RGDP s’applique aussi bien aux organisations basées au sein de l’UE que dans des États non membres de l’UE qui traitent des données de citoyens UE. 

To-Do List 

  • Si votre entreprise se trouve dans une de ces deux catégories, vous êtes tenus de respecter le RGPD.
  • Les organisations internationales doivent identifier de quelle autorité de contrôle elles dépendent en matière de protection des données.  

2. Sensibilisez 

Sensibilisez votre personnel à la nouvelle réglementation relative à la protection des données. 

To-Do List 

  • Informez les cadres et employés de l’entreprise des changements qui s’annoncent. Mettez à jour ou réexaminez vos contrats avec vos partenaires commerciaux, vendeurs et fournisseurs.
  • Si vous travaillez avec des fournisseurs situés en-dehors de l’UE, assurez-vous qu’ils respectent le RGPD.
  • Veillez à ce que tous les contrats avec des tiers comportent une protection contre les risques liés au RGPD. 
  • Suivez régulièrement la mise en conformité des tiers. Réalisez des audits chez vos principaux fournisseurs.  
  • Organisez des ateliers sur la RGPD pour les équipes ventes et marketing. 

3. Réalisez une cartographie des données 

Établissez une cartographie des données que l’entreprise détient. Vérifiez la provenance des données, l’usage auquel elles sont destinées et qui y a accès. 

To-Do List 

  • Réalisez un audit afin d’évaluer vos données et ce à quoi elles servent.
  • Identifiez les risques potentiels et prenez les mesures nécessaires afin de vous mettre en conformité.
  • Vérifiez l’existence de fondements juridiques vous autorisant à utiliser ces données.
  • Si vous recevez des données de tiers, vérifiez leur exactitude et leur légalité.
  • Effacez les données inutiles ou obsolètes. 
  • Ayez une politique claire quant à la durée de conservation des données. 

4. Créez et tenez à jour un registre des activités de traitement des données 

Le RGPG impose aux entreprises de tenir un registre des activités de traitement des données. Les organisations doivent pouvoir prouver qu’elles assument leurs responsabilités et respectent le RGPD. 

To-Do List 

Créez et tenez un registre des activités de traitement des données reprenant : 

  • Le nom et les données de contact de l’organisation et du DPD (si d’application)
  • Une description des catégories de données à caractère personnel
  • L’objectif du traitement des données
  • Les catégories de personnes concernées et de destinataires 
  • Les transferts de données à des tiers
  • Une description générale des mesures de sécurité prises au sein de l’organisation 

5. Mettez à jour votre politique de protection des données  

Dans le cadre du RGPD, vous devez non seulement respecter la nouvelle réglementation relative à la protection des données mais également le prouver. En plus de tenir un registre [1], il vous faut également mettre à jour (ou réexaminer) vos politiques et procédures. 

To-Do List 

Vérifiez avec un avocat si votre politique en matière de protection des données est conforme au RGPD. 

Veillez à ce que votre politique de protection des données couvre les aspects suivants : 

  • Qui est responsable du traitement des données, de la sécurité et d’autres aspects importants du RGPD
  • Comment détecter les manquements et que faire pour y remédier
  • Comment répondre aux demandes d’accès à leurs données de la part des personnes concernées
  • Comment procéder si les personnes concernées retirent leur consentement
  • Qu’indiquer dans la déclaration de confidentialité – veillez à utiliser un langage concis, facile à comprendre et clair
  • Comment répondre aux demandes des clients concernant la portabilité des données, le droit à l’effacement, le droit à l’information, le droit d’opposition, de rectification, etc. 
  • Décrire tout fondement juridique, y compris le consentement, les intérêts vitaux, et les intérêts généraux, garantissant la licité du traitement des données 

6. Obtenez le consentement au traitement des données 

Pour être conformes au RGPD, les entreprises doivent évaluer la manière dont elles sollicitent, gèrent et enregistrent le consentement[2]. Elles doivent également s’intéresser aux cinq autres grands fondements juridiques tels que la licité du traitement des données et les intérêts légitimes en tant que base juridique du traitement. 

Conformément à la nouvelle réglementation sur la protection des données, le consentement doit être clair, spécifique, éclairé et donné librement.  Il doit, en outre, être vérifiable.  Les personnes concernées ont le droit de retirer leur consentement à tout moment.  

To-Do List 

  • Examinez vos procédures d’obtention de consentement.
  • Définissez un statut opt-in pour tous les contacts.
  • Évaluez votre base de données. Vérifiez si les personnes concernées ont donné leur consentement au traitement de leurs données.
  • Avant de lancer de nouvelles campagnes, veillez à ce que vos démarches marketing soient conformes au RGDP.
  • Insérez dans tous les formulaires d’abonnement un lien vers votre page relative à la confidentialité, mise à jour.
  • Veillez à ce que tous les formulaires figurant sur votre site incluent un opt-in explicite.
  • Prévoyez des procédures simples permettant de se désabonner et de retirer son consentement.
  • Ne faites pas du consentement une condition préalable à  la prestation d’un service. 

7. Gérez les demandes d’information 

Une fois le RGPD entré en vigueur, les organisations devront répondre à toute demande d’information dans un délai d’un mois. 

To-Do List 

  • Créez une page d’accueil réservée aux demandes d’information.
  • Prévoyez des options permettant aux personnes concernées de demander à ce que leurs données soient mises à jour ou effacées.
  • Faites en sorte que l’abonnement par courrier électronique soit aisé pour les clients.
  • Examinez chaque demande manuellement et veillez à y répondre dans un délai d’un mois. 

8. Préparez-vous à l’éventualité d’une violation de la sécurité 

Un des points principaux du RGPD est la sécurité des données. Quel que soit le type ou la taille de votre entreprise, il est obligatoire d’assurer la sécurité des données à caractère personnel et de notifier toute violation de la sécurité dans un délai de 72 heures[3]

To-Do List 

  • Élaborez un plan de gestion de la sécurité des données.
  • Installez un niveau adéquat de chiffrement sur tous les appareils de l’entreprise.
  • Envisagez un système d’authentification à deux facteurs pour tous les employés.
  • Veillez à ce votre infrastructure IT soit sécurisée. Identifiez les zones à haut risque et apportez-y une solution.
  • Que vous optiez pour un nouveau système ou amélioriez un système existant, la confidentialité doit en faire partie intégrante. 
  • Tous les fichiers, serveurs et ordinateurs doivent être protégés contre tout accès non autorisé. 

9. Contraintes particulières imposées par le RGPD 

Le Règlement Général de Protection des données de l’UE stipule que toute entreprise fournissant des services numériques aux enfants doit vérifier leur âge et obtenir des parents ou du tuteur de ces enfants leur consentement au traitement de leurs données[4]. Seuls les enfants âgés de 16 ans ou plus ont le droit de donner leur consentement. 

To-Do List 

  • Vérifiez que vous disposez d’un système permettant de vérifier l’âge des personnes concernées.
  • Obtenez toujours le consentement des parents ou du tuteur de l’enfant avant de procéder au traitement de ses données.
  • Toute déclaration de confidentialité à l’intention des enfants doit être adaptée à ce public. 

10. Désignation d’un DPD 

Les organisations qui traitent des catégories spéciales de données telles que des informations relatives à des infractions et condamnations pénales doivent nommer un délégué à la protection des données. Il en va de même pour les autorités publiques et entreprises traitant des volumes importants de données. 

Même si vous n’appartenez pas à ces catégories, un DPD peut être utile pour assurer la conformité de la protection des données au sein de l’organisation. Son rôle est de gérer et contrôler les données et les procédures nécessaires à la mise en conformité. 

To-Do List 

  • Voyez si vous devez nommer un DPD. La personne qui assurera cette mission peut être extérieure à l’organisation ou issue de son personnel. Elle en référera au plus haut échelon du management.
  • Si cette fonction n’est pas nécessaire au sein de votre organisation, veillez à désigner un responsable de la protection des données.
  • Veillez à fournir au DPD les ressources nécessaires à l’exécution de sa mission.


[1] https://gdpr-info.eu/art-30-gdpr/

[2] https://gdpr-info.eu/art-7-gdpr/

[3] https://gdpr-info.eu/art-33-gdpr/

[4] https://gdpr-info.eu/art-8-gdpr/.