Ordre national
des pharmaciens

Imprimer

Ce qu’il faut retenir pour se mettre en conformité avec le RGPD

Etape 1 : Cartographiez vos traitements de données personnelles

Identifiez les traitements de données personnelles que vous mettez en œuvre et pour chaque traitement, posez-vous les questions suivantes :

  • Qui ? Identifiez les différents acteurs qui traitent ces données : responsable de traitement ? sous-traitant(s) ? destinataire(s) ?
  • Quoi ? Identifiez les catégories de données traitées et identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)
  • Pourquoi ? Identifiez la finalité pour laquelle vous collectez ou traitez ces données
  • Où ? Déterminez dans quel(s) pays les données sont stockées ou transférées ?
  • Jusqu’à quand ? Identifiez, pour chaque catégorie de données, combien de temps vous les conservez
  • Comment ? Identifiez les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées

Etape 2 : Analysez la conformité de vos traitements aux règles de protection des données personnelles en se posant les bonnes questions

  • Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?
  • Est-il pertinent de conserver toutes les données aussi longtemps ?
  • Les données que je collecte ou traite sont-elles suffisamment protégées ?
  • Les personnes concernées par le traitement de leurs données sont-elles clairement informées de ce traitement et de leurs droits ?

Etape 3 : Analysez votre besoin d’un DPO 

  • Suis-je tenu de désigner un DPO ?
  • Dans l’hypothèse où je ne suis pas obligé de désigner un DPO, n’aurais-je pas tout de même un intérêt à en nommer un ?

Etape 4 : Identifiez les actions prioritaires à mettre en place pour une mise en conformité avec le RGPD

  • Créez votre registre des activités de traitement
  • Vérifiez et adaptez les termes des contrats avec vos sous-traitants
  • Rédigez les procédures utiles et nécessaires (procédure pour l’exercice des droits des personnes, procédure en cas de failles de sécurité…)
  • Informer et former vos équipes
  • Documentez pour chaque traitement sa conformité au RGPD (par exemple : le modèle de recueil de consentement lorsque la collecte de données repose sur ce fondement, les mentions d’information des personnes, la documentation justifiant la durée de conservation des données, l’analyse d’impact de ce traitement ou, à défaut, la documentation justifiant l’absence d’une telle analyse, la politique de sécurité des données, la procédure pour l’exercice des droits des personnes, les éventuels contrats avec les sous-traitants, les formations du personnel, les audits…

Etape 5 : Respectez les droits des personnes concernés

  • Mettez en place les procédures nécessaires pour répondre aux demandes des personnes concernées 
  • Soyez transparent dans la communication des règles d’exercice des droits 

Etape 6 : Assurez la sécurité de vos applications en procédant à une analyse de risques

  • Procédez à une étude d’impact pour les traitements les plus sensibles qui concernent un grand nombre de données
  • Prenez les mesures informatiques mais aussi physiques nécessaires pour garantir au mieux la sécurité des données
  • Mettez en place une procédure de notification des violations de données personnelles

Etape 7 : Réinterrogez régulièrement l’ensemble de ces points ! 

L’application du RGPD est un processus dynamique. 

Date de mise à jour : 25/06/2018