Impliquer la direction
La Direction doit être le sponsor de votre mise en conformité ainsi que de son maintien dans la durée. Son implication est indispensable pour réussir le projet de conformité au RGPD et éviter les impacts directs (amende) ou indirects (image de marque) que pourrait engendrer la non-conformité aux aspects règlementaires.
Désigner un DPO
La nomination d’un DPO n’est pas obligatoire dans tous les cas, mais l’absence de cette fonction dans une entreprise demeure un risque à moyen terme d’être « hors la loi ». La fonction DPO permet d'avoir un référent RGPD et de maintenir la conformité.
Veiller à son niveau de sécurité
Le RGPD exige de garantir un niveau de sécurité adapté au risque numérique. Il est ainsi nécessaire d’apprécier et traiter les risques sur les personnes, de mettre en place les mesures techniques ou organisationnelles appropriées et de garantir la confidentialité, l’intégrité, la disponibilité et la résilience.
Maîtriser la chaine de sous-traitance
Le RGPD apporte la notion de partage/transfert de responsabilité de tout ou d'une partie des traitements de données à caractère personnel. Encore faut-il s'assurer des mesures prises par vos sous-traitants.
Gérer les consentements
Il est nécessaire de mettre en place un dispositif permettant au responsable de traitement d'être en mesure de prouver que la personne concernée a donné son consentement.
Assurer la licéité, le consentement et la minimisation lors de la collecte
Le responsable du traitement doit être en mesure de citer quelles données personnelles sont collectées, dans quel objectif et de démontrer que la personne concernée a donné son consentement.