1)DESIGNER UN PILOTE DU RGPD – DPO 2)MENER UN AUDIT POUR IDENTIFIER LES ÉCARTS CONSTATES PAR RAPPORT AUX EXIGENCES DU RGPD Identification, recensement et cartographie des traitement de données de l’entreprise par service, site, application, extranet, intranet…, par catégorie de données personnelles traitées, par type d’acteurs traitant ces données (internes ou externes), par type d’objectif poursuivi, par destination : UE / hors UE Inventaire des solutions techniques et processus (accès interne ou externe, sauvegarde, conservation, destruction, alertes intrusion…) Analyse des traitements et appréciation de la conformité des ces traitements au RGPD : S’assurer que seules les données nécessaires à la poursuite des objectifs de l’organisation sont collectées et traitées Analyse de la base juridique des traitements et des processus garantissant l’exercice droit des personnes : information, consentement, accès, rectification, effacement, opposition…. Analyse de la base contractuelle avec les sous traitants (obligations du sous traitant en matière de sécurité, confidentialité et protection des données personnelles) Analyse de la sécurité des systèmes d’information en place Risques particuliers (données sensibles, données à grande échelle, transferts de données hors UE…) : évaluation de nécessité de réaliser une AIPD, encadrer les transferts hors UE 3) ORGANISER LES PROCESSUS INTERNES ET DOCUMENTER SA CONFORMITÉ Constituer un registre des traitements, un répertoire des sous traitants, des analyses d’impact si nécessaire, rédiger des clauses contractuelles spécifiques dans le cadre de transfert hors UE Organiser les processus internes qui garantissent la prise en compte de la protection des données à tout moment (information, consentement, effacement…), de traiter les réclamations et demandes de personnes concernées, d’anticiper les violations de données (notification dans les 72h à la cnil et information des personnes concernées) Sécuriser les accès informatiques et les systèmes d’information (authentification des utilisateurs, gestion des habilitations, traçabilité des accès, sécurisation des postes de travail, sécurisation de l’informatique mobile, sécurisation des serveurs, sécurisation du réseau informatique, procédure de sauvegarde, destruction …) Rédiger l’ensemble de la documentation obligatoire : Information des personnes : mentions d’information et procédures pour garantir l’exercice du droit des personnes Clauses de confidentialité pour les acteurs internes, ou externes (clients, sous traitants) Politique de confidentialité du site et politique de cookies du site web