Pour le technicien qui intervient.
Toute traitement de données personnelles doit reposer sur l'une des 6 bases legales du RGPD art. 6 : consentement, contrat, obligation legale, interet vital, mission de service public, interet legitime. La base legale conditionne les droits des personnes (par exemple, l'opposition est facultative pour le contrat mais obligatoire pour l'interet legitime). Une base legale mal documentée est une non-conformite majeure.
L'article 33 du RGPD impose une notification CNIL sous 72 heures pour toute violation de données presentant un risque pour les personnes. Au-dela, les personnes concernees doivent egalement etre informees si le risque est eleve. La procedure interne de qualification d'incident doit etre documentée, testee et connue de l'equipe IT.
Une non-conformite RGPD vient souvent d'un collaborateur non sensibilise (envoi de fichier CSV en clair, copie de données sur clé USB). Former a minima tous les collaborateurs manipulant des données personnelles, avec rappel annuel. Inclure des cas concrets métier, pas du juridique abstrait. Tracer les formations realisees.
Pour le responsable / gestionnaire.
Toute traitement de données personnelles doit reposer sur l'une des 6 bases legales du RGPD art. 6 : consentement, contrat, obligation legale, interet vital, mission de service public, interet legitime. La base legale conditionne les droits des personnes (par exemple, l'opposition est facultative pour le contrat mais obligatoire pour l'interet legitime). Une base legale mal documentée est une non-conformite majeure.
L'article 33 du RGPD impose une notification CNIL sous 72 heures pour toute violation de données presentant un risque pour les personnes. Au-dela, les personnes concernees doivent egalement etre informees si le risque est eleve. La procedure interne de qualification d'incident doit etre documentée, testee et connue de l'equipe IT.
L'article 30 du RGPD impose la tenue d'un registre des traitements pour toute organisation de 250 personnes ou plus, et pour toutes celles traitant des données sensibles ou regulieres. Le registre doit contenir : finalite, base legale, catégories de données, destinataires, transferts hors UE, durée de conservation, mesures de sécurité. L'audit annuel vérifie l'exhaustivite.
Le RGPD art. 12 impose une reponse sous 30 jours aux demandes d'exercice de droits (acces, rectification, effacement, portabilite, opposition). En cas de complexite, le délai peut etre prolonge de 2 mois avec information motivee. Le depassement du délai est sanctionne par la CNIL. Mesurer le délai moyen comme indicateur clé.
Toute collecte de données doit etre accompagnee d'une information claire (articles 13 et 14 RGPD) : identite du responsable, finalite, base legale, destinataires, durée, droits, contact DPO. Mettre a jour ces mentions a chaque changement de traitement. Le formulaire web est l'un des points les plus contrôles par la CNIL.
Une non-conformite RGPD vient souvent d'un collaborateur non sensibilise (envoi de fichier CSV en clair, copie de données sur clé USB). Former a minima tous les collaborateurs manipulant des données personnelles, avec rappel annuel. Inclure des cas concrets métier, pas du juridique abstrait. Tracer les formations realisees.
Pour l'auditeur et le contrôle de conformité.
L'article 30 du RGPD impose la tenue d'un registre des traitements pour toute organisation de 250 personnes ou plus, et pour toutes celles traitant des données sensibles ou regulieres. Le registre doit contenir : finalite, base legale, catégories de données, destinataires, transferts hors UE, durée de conservation, mesures de sécurité. L'audit annuel vérifie l'exhaustivite.
Le RGPD art. 12 impose une reponse sous 30 jours aux demandes d'exercice de droits (acces, rectification, effacement, portabilite, opposition). En cas de complexite, le délai peut etre prolonge de 2 mois avec information motivee. Le depassement du délai est sanctionne par la CNIL. Mesurer le délai moyen comme indicateur clé.