Organiser les processus internes

02 mars 2017

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire). 

RGDP - Etape 5 - Organiser les processus internes

Organiser les processus implique notamment :

  • de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données;
  • de sensibiliser et d'organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l'exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
  • d'anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
Document reference

Les outils pour vous aider

Dans l'attente d'un téléservice de notification de violations de données personnelles (disponible en mai 2018 sur cnil.fr) consultez d'ores et déjà le formulaire de notification de violations de données personnelles. Cette procédure s'adresse à ce jour uniquement aux fournisseurs de services de communications électroniques au public.

Document reference

Inspirez-vous du label gouvernance

Les exigences du label gouvernance peuvent constituer une base d'inspiration utile pour vous aider à mettre en place l'organisation nécessaire. Le formulaire de candidature au label contient des modèles de documents et des informations utiles.

Vous aurez franchi cette étape si

  • Les réflexes de la protection des données sont acquis et appliqués au sein des services qui mettent en œuvre des traitements de données ;
  • Votre organisation sait quoi faire et à qui s’adresser en cas d’incident.