Maturité et conformité RGPD de votre organisation : guide d’audit et ressources utiles aux professionnels RH, aux responsables de traitement, aux DPO et aux sous-traitants.

Découvrez dans ce dossier un ensemble de ressources (infographies, chronogrammes, logigrammes, guides ou trames d’auto-évaluation et d’audit, glossaire, FAQ, bibliographie, to do list…) utiles :

  1. pour sensibiliser les différents acteurs à leurs droits et obligations,
  2. pour procéder à un auto-diagnostic,
  3. pour découvrir une méthodologie de l’audit de la conformité au RGPD d’un organisme (privé ou public),
  4. pour formaliser et tenir à jour l’ensemble de la documentation RGPD requise.

1- De quoi parle-t-on ?

16000

DPO (DÉLÉGUÉS À LA PROTECTION DES DONNÉES) AVAIENT DÉJÀ ÉTÉ DÉSIGNÉS AUPRES DE LA CNIL EN MAI 2019, POUR AGIR AU SEIN DE PLUS 55000 ORGANISATIONS

2- Mon organisation est-elle concernée par le RGPD ?

Le RGPD s’applique à l’ensemble des traitements (automatisés ou manuels) de données personnelles, en concernant :

Les critères

Le RGPD refond et renforce la protection des données à caractère personnel en conférant de nouveaux droits aux personnes physiques concernées. L’adoption du RGPD a marqué un tournant majeur dans la régulation des traitements et flux de données personnelles en s’adaptant aux nouveaux enjeux technologiques et en renforçant le niveau de responsabilité de ceux qui ne respecteraient pas leurs obligations, notamment en matière de contrôle interne et d’analyse des risques.

L’ensemble des institutions publiques est soumis au respect des exigences du RGPD. Une association (tout comme une TPE ou une PME) est tenue de respecter le RGPD :

  • dès lors qu’elle collecte, stocke, utilise des données à caractère personnel (rôle de « responsable de traitement »).
  • et/ou si elle traite des données à caractère personnel pour le compte d’autres personnes morales (rôle de « sous-traitant »).

Des dérogations ou allègements existent pour les entreprises de moins de 250 salariés mais, en pratique, rares sont les entreprises qui peuvent être exemptées du principe d’accountability (obligation pour toutes les entreprises de mettre en œuvre un ensemble de mécanismes et de procédures internes permettant de démontrer le respect des règles relatives à la protection des données).

Pour résumer :

Toute entreprise (y compris de moins de 250 salariés) est tenue de se conformer au RGPD, dès lors que l’un des critères ci-dessous est rempli :

  • si elle réalise de manière systématique des traitements présentant des risques importants pour les droits et libertés des personnes concernées ;
  • si le traitement porte sur les données décrites au paragraphe 1 de l’article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données sur la santé, données sur la vie sexuelle) ;
  • si le traitement porte sur des informations relatives à des condamnations pénales ou à des infractions.
  • si l’entreprise opère des traitements récurrents ou non occasionnels (ex : gestion de la paie). Selon le G29, dans la mesure où la gestion des employés dans une entreprise de moins de 250 employés correspond à un traitement qui ne peut être considéré comme occasionnel, il doit faire l’objet d’une inscription au registre des activités de traitement.

À noter : même si votre organisation ne traite des données à caractère personnel que pour le compte d’une autre organisation, elle est tout de même tenue de se conformer au RGPD.

3- Conformité au RGPD : où en est votre organisation ?

Le nécessaire a été fait en intégralité
La plupart des obligations sont respectées
La mise en conformité avance bien
La mise en conformité débute
Tout reste à faire

4- Découvrez nos infographies RGPD !

Cliquer sur une image pour afficher en grand l’infographie correspondante :