RGPD – Audit de conformité au RGPD

Auteurs : FB Juris et Franck Beaudoin, avocat

Publié sur idroit.co le 14 mai 2018 – Mis à jour le 16 mai 2018

Cet audit simplifié a pour objectif de vous permettre de savoir si vous êtes concerné par le RGPD, d’évaluer son impact et de connaître vos principales obligations. Réalisez votre propre audit en 5 étapes, en quelques minutes, gratuitement et sans création de compte.

ÉTAPE 1 – Le RGPD est-il applicable ?

La première étape consiste à vérifier si le RGPD est applicable. Les questions qui suivent permettent de le déterminer.

> Existe-t-il un traitement de données personnelles contenues ou appelées à figurer dans un fichier ?

Si non, le RGPD n’est pas applicable. Inutile d’aller plus loin.

Si oui, le RGPD peut être applicable. Il faut continuer.

> Le traitement de données personnelles est-il effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, ou dans un autre cas particulier défini à l’article 2 du RGPD ?

Si oui, le RGPD n’est pas applicable. Inutile d’aller plus loin.

Si non, le RGPD peut être applicable. Il faut continuer.

> Le traitement de données personnelles est-il effectué dans le cadre d’activités sur le territoire de l’Union européenne, que le traitement ait lieu ou non dans l’Union ?

Si oui, le RGPD est applicable.

Si non, le traitement des données à caractère personnel concerne-t-il des personnes qui se trouvent sur le territoire de l’Union européenne ?

Si non, le RGPD n’est pas applicable. Inutile d’aller plus loin.

Si oui, les activités de traitement sont-elles liées soit à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes, soit au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ?

Si non, le RGPD n’est pas applicable. Inutile d’aller plus loin.

Si oui, le RGPD est applicable.

ÉTAPE 2 – Le traitement de données personnelles est-il sensible ?

Si le RGPD est applicable, il faut définir la nature du traitement de données personnelles et évaluer les risques qu’il présente.

> Le traitement des données à caractère personnel révèle-t-il l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ou concerne-t-il des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ?

Si oui, le traitement de données personnelles est en principe interdit. L’article 9 paragraphe 2 du RGPD prévoit cependant une liste limitative d’exceptions. Il faut s’assurer de respecter scrupuleusement les conditions posées. Si, par exception, le traitement de données personnelles est autorisé, il est néanmoins sensible. Action requise : analyser précisément la situation (il est nécessaire qu’une personne compétente effectue une analyse personnalisée).

> Les données à caractère personnel traitées sont-elles relatives aux condamnations pénales ou aux infractions ou aux mesures de sûreté connexes ?

Si oui, le traitement de données personnelles ne peut être effectué que sous le contrôle de l’autorité publique ou dans les conditions définies par l’article 10 du RGPD. Action requise : analyser précisément la situation (il est nécessaire qu’une personne compétente effectue une analyse personnalisée).

> Les données à caractère personnel sont-elles utilisées pour prendre une décision individuelle automatisée, y compris le profilage ?

Si oui, le traitement de données personnelles doit respecter les conditions définies par le RGPD (notamment l’article 22). Action requise : analyser précisément la situation (il est nécessaire qu’une personne compétente effectue une analyse personnalisée).

> D’une manière générale, le traitement de données personnelles est-il susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement ?

Si oui, une analyse d’impact relative à la protection des données est obligatoire (article 35 du RGPD). Si cette analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement (article 36 du RGPD). Action requise : analyser précisément la situation (il est nécessaire qu’une personne compétente effectue une analyse personnalisée).

> Le responsable du traitement procède-t-il à une offre directe de services de la société de l’information à des enfants (ayant moins de 16 ans) ?

Si oui, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant (article 8 du RGPD).

ÉTAPE 3 – Est-il obligatoire de tenir un registre des activités de traitement ?

En pratique, il est obligatoire de tenir un registre des activités de traitement, excepté dans le cas où un traitement de données non sensibles serait effectué de façon occasionnelle.

> L’entreprise ou l’organisation qui effectue le traitement de données personnelles compte-t-elle moins de 250 employés ?

Si non, il est obligatoire de tenir un registre des activités de traitement.

> Si l’entreprise ou l’organisation compte moins de 250 employés, les trois conditions cumulatives listées ci-dessous sont-elles remplies ?

1 – Le traitement n’est pas susceptible de comporter un risque pour les droits et des libertés des personnes concernées.

2 – Le traitement est occasionnel. Attention, la simple conservation des données constitue un traitement, de telle manière que la notion de traitement occasionnel implique à notre avis une destruction rapide des données.

3 – Le traitement ne porte pas sur les catégories particulières de données visées à l’article 9, paragraphe 1, du RGPD ni sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du RGPD.

Si les trois conditions cumulatives ne sont pas remplies, il est obligatoire de tenir un registre des activités de traitement.

ÉTAPE 4 – La désignation d’un délégué à la protection des données (DPD / DPO) est-elle obligatoire ?

Dans certains cas, le responsable du traitement de données personnelles et son sous-traitant sont tenus de nommer un délégué à la protection des données (DPD en français / DPO en anglais).

> Le traitement est-il effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ?

Si oui, la désignation d’un DPD est obligatoire. Action requise : analyser en détail les articles 37 à 39 du RGPD et désigner un délégué à la protection des données répondant aux conditions posées par ces dispositions.

> Les activités de base du responsable du traitement ou du sous-traitant consistent-elles :

– soit en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées,

– soit en un traitement à grande échelle de catégories particulières de données visées à l’article 9 du RGPD et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du RGPD ?

Si oui, la désignation d’un DPD est obligatoire. Action requise : analyser en détail les articles 37 à 39 du RGPD et désigner un délégué à la protection des données répondant aux conditions posées par ces dispositions.

ÉTAPE 5 – Est-il obligatoire d’effectuer une analyse d’impact ?

> Le traitement de données personnelles est-il susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement ?

Si non, il n’est pas obligatoire d’effectuer une analyse d’impact.