Cartographie des traitements de données personnelles
Recenser les différents traitements de données personnelles en respectant la réglementation, pour les enregistrer dans le registre de traitements des données
Lister les catégories de données personnelles traitées pour les identifier dans le registre de traitements des données
Définir les objectifs poursuivis par les opérations de traitements de données en s'appuyant sur la réglementation en vigueur
Mettre en place le registre de traitements des données personnelles en réponse à l'obligation prévue par le RGPD
Gestion des risques des traitements de données
Identifier les risques de sécurité et de conformité associés aux opérations de traitement de données, dans un cadre national ou international afin d'en contrôler les impacts
Mettre en place les mesures de sécurité adaptées pour limiter les risques de violation de données
Rédiger les procédures de gestion de crise pour prévenir les situations contentieuses, instruire les réclamations, identifier les violations de données et réaliser les signalements à la CNIL
Rédiger la procédure interne en cas de contrôle de la CNIL (modalités d'accueil, personnes à prévenir, informations à obtenir)
Mise en place d'un système de management des données personnelles
Identifier la base juridique sur laquelle se fonde le traitement (par exemple, consentement de la personne, intérêt légitime, contrat, obligation légale) pour déterminer le périmètre réglementaire
Vérifier que seules les données strictement nécessaires à la poursuite des objectifs sont collectées et traitées pour être en accord avec la réglementation
Mettre en place un contrôle de l'effectivité des mesures techniques et organisationnelles de protection des données pour identifier les anomalies et dysfonctionnements
Rédiger la politique générale de traitement des données afin qu'elle soit conforme aux exigences du RGPD, pour informer les personnes concernées par le traitement de leurs données
Communication sur les sujets RGPD
Communiquer avec la CNIL pour faciliter les échanges en cas de contrôle
Communiquer au sein de l'organisme pour sensibiliser la direction et les collaborateurs aux règles régissant la protection des données personnelles
Mise en place d'un système de veille
Effectuer une veille permanente (sur la jurisprudence, les publications des autorités de contrôle, ...) pour entretenir ses connaissances techniques et opérationnelles en lien avec les activités de traitement de l'organisme, et à l'occasion de formations et de partages d'expérience avec son réseau de DPO