Prioriser les actions à mener

02 mars 2017

Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. 

RGPD etape 3 - Prioriser

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.

Points d’attention quels que soient vos traitements

  1. Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
  2. Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) 
  3. Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement  (articles 12, 13 et 14 du règlement)
  4. Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  5. Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)
  6. Vérifiez les mesures de sécurité mises en place.

Points d’attention nécessitant une vigilance particulière

Vous traitez certains types de données

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques,  
  • des données d’infraction ou de condamnation pénale,
  • des données concernant des mineurs.

Votre traitement a pour objet ou pour effet

  • la surveillance systématique à grande échelle d'une zone accessible au public ;
  • l'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative.

Vous transférez des données hors de l'Union européenne

> En savoir plus

​Si vos traitement répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer (exemple : étude d'impact sur la protection des données (PIA), information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, ). Une analyse approfondie de la loi informatique libertés et du règlement est nécessaire pour déterminer les mesures à mettre en œuvre.

Vous aurez franchi cette étape si

  • Vous avez mis en place les premières mesures pour protéger les personnes concernées par vos traitements
  • Vous avez identifié les traitements à risque