La conformité au RGPD ne désigne pas un état, c’est plutôt un processus. Le RGPD vise à renforcer la protection des données de toutes personnes dont les données personnelles entrent dans son champ d’application. Selon le RGPD, les données personnelles désignent l’ensemble des données relatives à un individu vivant identifié ou identifiable. Par conséquent, la conformité au RGPD est très importante.
Cartographier des traitements
La cartographie des traitements comprend l’identification guidée de toutes les données personnelles reçues par votre organisation. Construire une cartographie de traitements est l’un des points de départ importants pour une compréhension globale du traitement des données circulant au sein d’une organisation. La cartographie des traitements est recommandée par la CNIL pour mesurer la conformité au RGPD grâce aux informations saisies dans les registres de traitement. En tant que telle, elle surveille la conformité au fil du temps et fournit un registre des fonctionnements du traitement pour permettre aux organisations d’élaborer des plans d’action pour garantir cette conformité.
Respecter les droits d’utilisateur
Les organisations devraient fournir aux utilisateurs des informations selon les activités de traitement qu’elles effectuent pour être en conformité avec la RGPD. Ces informations doivent être fournies lors de l’assemblage de données personnelles, par le biais d’une déclaration ou d’une politique de confidentialité. Cependant, si les données sont collectées à partir de sources autres que l’utilisateur, les informations privées doivent être livrées à l’utilisateur dans un « délai convenable » après le collectage.
Les utilisateurs disposent le droit d’accéder à leurs données et aux informations sur la manière dont elles sont considérées. Si un utilisateur le réclame, le responsable doit montrer un aperçu des données traitées, une copie des données et des détails sur le traitement.
Les utilisateurs obtiennent le droit de corriger leurs données incomplètes ou inexactes. Ce droit signifie également que les corrections doivent être signalées à tout tiers destinataire impliqué dans le traitement des données, sauf si cela n’est pas possible ou s’il existe des difficultés disproportionnées.
Conserver les données personnelles
Les données personnelles comprennent des informations qui peuvent identifier un individu lorsqu’elles sont collectées ensemble. Elles incluent de plus des données pseudonymisées ou cryptées, à condition que la pseudonymisation ou le cryptage soit réversible. Pour se conformer avec RGPD, aux obligations de protection de données, les clés de décryptage ainsi que les données pseudonymes doivent être gardées séparément. Certaines lois prévoient des périodes de conservation. En l’absence de ces conditions, le responsable du traitement doit fixer une durée convenable aux finalités et aux objectifs poursuivis. Une fois le délai écoulé, le responsable est dans l’obligation de supprimer les données personnelles de la personne concernée ou les anonymiser.
