1. Cartographier les données

Le principe premier du RGPD est la transparence. À tout moment, les entreprises doivent savoir quelles sont les données dont elles disposent, de quelle manière celles-ci sont exploitées et comment elles sont protégées, afin de pouvoir en référer aux autorités en cas de besoin. Pour répondre à cet impératif, il faut commencer par mettre en œuvre un état des lieux complet des données.

2. Obtenir le consentement

La lutte contre l’exploitation non consentie, et donc abusive, des données personnelles est au cœur du dispositif RGPD. Tout individu doit désormais signifier son consentement explicite pour chaque information collectée.

3. Ne conserver que les données légitimes

Toutes les données à caractère personnel qui n’ont pas de raison légitime de se trouver dans les fichiers de l’entreprise doivent être supprimées. Chaque donnée est en effet collectée pour un usage défini et doit servir un intérêt légitime, nécessaire à l’activité de l’entreprise et en rapport avec les services qu’elle propose.

4. Désigner un DPO

Le digital privacy officer occupe une place centrale dans le dispositif. Selon l’article 39 du RGPD, le DPO doit informer et conseiller toutes les personnes ayant vocation à traiter des données, en interne comme en externe, sur les obligations qui leur incombent. Il doit aussi contrôler le respect du droit en matière de protection des données et coopérer avec l’autorité de contrôle.

5. Tenir un registre d’activités de traitement

Le RGPD implique l’entreprise et ses partenaires susceptibles d’utiliser les données. Le règlement européen prévoit que chaque donnée personnelle traitée soit recensée dans un registre spécifique qui indique les nom et coordonnées de chaque sous-traitant et destinataire des informations, les objectifs de ces traitements, les nom et coordonnées du responsable au sein de votre entreprise et une description des mesures de sécurité mises en place.