Site web
Commencez par le site web. Votre entreprise doit au moins sembler conforme. Vérifiez ce qui suit :
- Si votre site web utilise des cookies, il doit afficher un dialogue sur les cookies. Vous savez ce que c'est, car vous avez déjà fermé de nombreux dialogues de ce type. Votre plateforme web ou votre partenaire sait comment activer un simple dialogue sur les cookies.
- Demandez au chatbot AI PrivacyDocs de générer une politique de confidentialité standard pour le site web. Elle couvrira le site web, pas le reste de votre entreprise. Vous pouvez adopter une politique bien rédigée trouvée sur le Web, ou simplement demander au chatbot AI PrivacyDocs d'en générer une en fonction des enregistrements saisis. Une politique conforme devrait tenir sur deux pages et aborder deux à trois activités de traitement (placement de cookies, fourniture du site web, stockage des journaux d'accès, traitement potentiel des formulaires de retour).
Vérifiez votre site Web pour des tiers, tels que Google Analytics, des logiciels de marketing, des vidéos intégrées, etc. De nombreux sites Web utilisent d'autres sites, transmettant les données de vos visiteurs à d'autres entreprises.
Inventaire
Ensuite, vous devez établir un inventaire des activités de traitement (appelées enregistrements des activités de traitement). Le RGPD est construit autour des activités de traitement, chacune devant être décrite.
Les activités du site web sont un bon début. Prenez les enregistrements de démonstration fournis avec PrivacyDocs et adaptez-les à vos spécificités.
Remplissez chaque enregistrement dans PrivacyDocs. Cela peut inclure ce qui suit :
- Comprendre quels systèmes sont impliqués dans la réalisation d'un traitement.
- Déterminer quelles entreprises fournissent ces systèmes et sont impliquées, en vérifiant l'existence des contrats de traitement des données avec ces entreprises.
- Détermination des périodes de conservation des données.
- Découverte des chemins de partage des données.
- Examen des informations fournies aux individus (textes apparaissant sur le site web, politique de confidentialité du site web, politiques internes de confidentialité, contrats avec vos clients).
Certaines archives nécessiteraient la réalisation d'évaluations (typiquement, une Évaluation de l'Intérêt Légitime ou une Évaluation d'Impact sur la Protection des Données). Vous pouvez consulter les évaluations d'exemple fournies avec PrivacyDocs. Vous pouvez également contacter le service de conseil GDPR de PrivacyDocs. Ces évaluations ne sont pas trop nombreuses (vous pouvez vous attendre à n'en avoir besoin que de quelques-unes), mais elles nécessitent d'examiner vos processus sous un angle particulier. Elles sont souvent mieux réalisées par des consultants externes.
Politiques de confidentialité
Les politiques de confidentialité ne sont pas un endroit où vous donnez un résumé du RGPD et parlez de ses principes, mais où vous clarifiez des détails spécifiques sur les activités de traitement que vous réalisez. La politique de confidentialité devrait indiquer à vos employés comment traiter les données personnelles, mais aussi les informer sur la manière dont leurs données sont traitées.
Demandes
Préparez votre entreprise à traiter les demandes des personnes concernées (DSR) : généralement, des demandes par e-mail soumises par quiconque à votre entreprise.
- Configurez une adresse e-mail comme point de contact privilégié, mentionnez-la dans vos politiques de confidentialité et sur le site web.
- Cet e-mail mènerait généralement à vous ou à quelqu'un qui gère les demandes légales.
- Assurez-vous que les demandes entrantes soient d'abord évaluées d'un point de vue juridique, car la plupart d'entre elles peuvent ne pas être fondées légalement.
- Assurez-vous que toute action prise à la suite de
Violations
Expliquez à tous dans votre entreprise ce qu'est une violation et mettez en place un mécanisme pour les signaler. C'est davantage un processus social. D'un point de vue technique, PrivacyDocs le soutient avec le registre des violations et des modèles pour les évaluations obligatoires des violations à réaliser par l'entreprise.
Formation
Vous devez former vos employés sur le RGPD. Il existe de nombreux cours de base gratuits disponibles. Un cours d'une demi-heure peut suffire à la plupart des employés, seuls quelques-uns ayant besoin de connaissances plus approfondies. Vous pouvez organiser un vendredi soir sur la vie privée et regarder ensemble une vidéo de cours, ou demander une courte formation auprès du service de conseil PrivacyDocs.
Il est important d'enregistrer le fait de la formation dans PrivacyDocs pour l'avoir comme preuve de conformité.
Risques
Vous ne pourrez probablement pas tout terminer complètement. Certains contrats pourraient manquer, certains systèmes ou processus devraient être mis à jour, etc. Ce sont toutes des lacunes de conformité formant des risques de non-conformité. La plupart des entreprises ont une liste assez longue de lacunes de conformité et de risques qu'elles supportent. Vous devez enregistrer ces risques dans PrivacyDocs.
La chose la plus importante ici est de revoir périodiquement ces risques et de continuer à travailler sur la mitigation des risques. Ignorer un risque n'est pas conforme. Mais enregistrer et évaluer un risque, en plus de gérer et de mettre en œuvre certaines mesures de mitigation des risques, peut rendre votre entreprise conforme même si le risque n'est pas immédiatement éliminé.
Avis
Vous devez périodiquement examiner les processus qui ne devraient pas changer, et choisir une révision annuelle est souvent défendable. Planifiez une révision RGPD pour l'année prochaine dans votre agenda. Les processus qui sont dus ou en retard sont marqués dans PrivacyDocs pour être visibles.