Recommandations :
- Effectuer, en ce qui concerne les données sensibles, une analyse d’impact et de risque pour les personnes avant la mise en place du traitement ;
- Documenter ses process : il n’y a plus en principe de déclaration préalable ou de demande d’autorisation à faire à la CNIL mais l’entreprise doit documenter son process pour établir comment elle a pris en compte la réglementation dans la conception et dans l’opération de l’outil qui traite les données (principe de “privacy by design” ou de “minimisation”) et dans la protection des données ; cette documentation devra être mise à disposition de la CNIL ou de ses homologues européennes sur demande ;
- Tenir un registre de l’ensemble des traitements mis en place ;
- Permettre à la personne fichée de paramétrer la diffusion des données qui la concerne, et de les retirer, le consentement des parents est requis pour un mineur ; accord préalable en principe requis ;
- (Pour les fichiers importants ou sensibles, ou publics) =>Mettre en place un “délégué à la protection des données” ou DPO (pour “Data Protection Officer”) successeur du “CIL” (pour “Correspondant Informatique et Libertés”), en désignant une personne en interne, ou en externe ;
- Sécuriser ses contrats de sous-traitance de traitement ;
- Préparer ses process d’alerte et de notification permettant de notifier rapidement à la CNIL les failles de sécurité, ainsi qu’à la personne concernée si la faille présente un risque élevé pour elle ;
- Actualiser ses “Binding Corporate Rules” (règles d’entreprise contraignantes) sur les transferts de données à l’étranger et assurer la sécurité technique et juridique des données même transférées ; adhérer éventuellement, à cette fin, à des codes de conduite et à des certifications ;
- (Entreprises étrangères, dont les géants du web : elles sont concernées quand leurs traitements concernent des personnes qui sont dans l’UE) => Désigner un représentant au sein de l’UE.
Le règlement est applicable le 25 mai 2018.