GDPR Compliance Definition and Checklist

Votre entreprise est-elle prête pour le RGPD ?

Consultez notre liste de contrôle pour en savoir plus.

Chaque entreprise étant différente, et le RGPD adoptant une approche de la protection des données axée sur le risque, les entreprises devraient donc évaluer leurs propres pratiques de collecte et d'hébergement de données (y compris les façons dont elles utilisent les logiciels HubSpot Marketing et HubSpot Sales), et consulter leurs propres avocats afin de s'assurer que leurs pratiques professionnelles sont conformes aux termes du RGPDVoici quelques points à prendre en compte au moment de déterminer la marche à suivre pour votre entreprise. 

L'évaluation

  • Quelles données personnelles collectons-nous ou stockons-nous ?
  • Les avons-nous obtenues de manière honnête ? Disposons-nous des consentements nécessaires et les personnes concernées ont-elles été informées des fins auxquelles nous utiliserons leurs données ? Avons-nous indiqué ces fins de manière claire et sans ambiguïté, et les personnes concernées ont-elles été informées de leur droit à retirer leur consentement à tout moment ?
  • Veillons-nous à ne pas conserver ces données plus longtemps que nécessaire et à les maintenir à jour ?
  • Les données sont-elles conservées de manière sûre avec un niveau de sécurité approprié au risque ? Par exemple, le chiffrement ou la pseudonymisation seront-ils nécessaires pour protéger les données personnelles que nous détenons ?  L'accès aux données est-il limité afin de garantir que celles-ci ne sont utilisées qu'aux fins prévues ?
  • Collectons-nous ou traitons-nous des catégories spéciales de données personnelles, telles que des « données personnelles sensibles », des données relatives à des enfants, des données biométriques ou génétiques etc., et si oui, respectons-nous les normes de collecte, de traitement et de stockage de ces dernières ?
  • Transférons-nous des données personnelles à l'extérieur de l'UE et si oui, avons-nous mis en place les mesures de protection adéquates ?

Le plan du projet RGPD

  • Avons-nous élaboré un plan de projet pour garantir la conformité au RGPD d'ici le mois de mai 2018 ?
  • Avons-nous l'appui des dirigeants pour être sûrs de disposer des ressources et du budget nécessaires à la réalisation du projet ?
  • Une analyse d'impact relative à la protection des données est-elle nécessaire ?
  • Devons-nous recruter un délégué à la protection des données ?
  • Avons-nous mis en place une politique de « protection des données dès la conception et de protection des données par défaut » afin de garantir une prise en compte systématique de l'impact potentiel d'un projet ou d'une initiative sur le respect de la vie privée des personnes ?
  • Avons-nous tenu compte de la manière de gérer les données des employés dans notre plan ?

Les procédures et les contrôles

  • Notre équipe en charge de la sécurité a-t-elle été informée de ses obligations en vertu du RGPD et dispose-t-elle des ressources suffisantes pour mettre en œuvre les changements ou les nouveaux processus éventuellement nécessaires ?
  • Avons-nous mis en place des procédures pour gérer les demandes de modification, de suppression ou de consultation des données personnelles de la part des personnes concernées ? Ces procédures respectent-elles les nouvelles règles définies par le RGPD ?
  • Avons-nous mis en place des procédures de notifications de sécurité afin d'être sûrs de satisfaire rapidement à nos obligations de signalement en vertu du RGPD en cas de faille de sécurité des données ?
  • Notre personnel est-il formé sur tous les aspects de la protection des données en vigueur dans l'UE, de manière à gérer les données comme il convient ?
  • Analysons-nous et vérifions-nous régulièrement les données que nous détenons ?

La documentation

  • Avons-nous défini des clauses de confidentialité et si oui, faut-il les mettre à jour pour qu'elles respectent les dispositions du RGPD ?
  • Avons-nous défini des modalités précises concernant les périodes de conservation des données, qu'il s'agisse des données des clients, des prospects, des fournisseurs ou des salariés ? Ces modalités sont-elles conformes au RGPD ?
  • Nos procédures internes sont-elles correctement documentées ?
  • Si nous sommes un sous-traitant des données, avons-nous mis à jour les contrats passés avec les responsables du traitement concernés pour veiller à ce qu'ils incluent les dispositions obligatoires énoncées à l'article 28 du RGPD ?
  • Lorsque nos fournisseurs tiers traitent des données personnelles en notre nom, avons-nous vérifié que les contrats passés avec eux ont été mis à jour pour y inclure les obligations s'appliquant aux sous-traitants en vertu du RGPD ?

Clause de non-responsabilité

Ces informations juridiques ne sont pas des conseils juridiques, car la loi n'est pas appliquée ici par un avocat en fonction des circonstances propres à votre entreprise. Il est donc indispensable que vous consultiez un avocat si vous souhaitez savoir comment interpréter ces informations ou vérifier leur exactitude. Vous ne pouvez pas vous fier à ce document au titre de conseil juridique, ni même au titre de recommandation d'interprétation d'une loi donnée.