RGPD8 min de lecture
Checklist de conformité RGPD : guide étape par étape
Cette checklist complète vous aide à atteindre systématiquement la conformité RGPD. Utilisez-la comme feuille de route pour votre parcours de conformité et comme référence continue pour maintenir la conformité.
Points clés
| Point | Résumé |
|---|---|
| 5 phases | Évaluation → Fondements juridiques → Droits et processus → Sécurité technique → Maintenance continue |
| Commencer par l'audit des données | Cartographier toutes les données personnelles : quoi, où, pourquoi, combien de temps, qui y a accès |
| Documents clés | Politique de confidentialité, politique cookies, DPA avec les fournisseurs, ROPA, plan de réponse aux violations |
| Exigences techniques | Sécurité des données, chiffrement, contrôles d'accès, détection de violation |
| Continu | Gestion des DSAR, formation privacy, revues fournisseurs, mises à jour des politiques |
Réponse rapide : La conformité RGPD implique : (1) auditer vos données, (2) établir les bases légales, (3) mettre en place les processus de gestion des droits, (4) implémenter la sécurité technique, (5) maintenir la conformité continue. Commencez par une cartographie des données et une politique de confidentialité.
Phase 1 : Évaluation et planification
1.1 Déterminer l'applicabilité
- Confirmer que le RGPD s'applique à votre organisation
- Identifier si vous êtes responsable, sous-traitant, ou les deux
- Déterminer dans quels pays UE/EEE vous opérez
- Identifier votre autorité de contrôle chef de file (si vous opérez dans plusieurs pays)
1.2 Mener l'audit des données
Checklist d'audit des données :
Inventaire :
- Lister tous les systèmes traitant des données personnelles
- Identifier toutes les catégories de données collectées
- Documenter les sources de données (directes/indirectes)
- Cartographier les flux de données entre systèmes
Analyse :
- Identifier les données de catégories particulières
- Signaler les activités de traitement à haut risque
- Évaluer les mesures de sécurité actuelles
- Réviser les politiques et procédures existantes
1.3 Analyse des écarts
- Comparer les pratiques actuelles aux exigences du RGPD
- Prioriser les écarts par niveau de risque
- Estimer les ressources nécessaires pour la remédiation
- Créer un calendrier de remédiation
Phase 2 : Gouvernance et responsabilité
2.1 Leadership et responsabilité
- Assigner la responsabilité de la confidentialité à un rôle/personne spécifique
- Obtenir le parrainage exécutif
- Établir un budget privacy
- Déterminer si un DPO est requis
- Désigner un DPO si requis (ou volontairement)
- Assurer l'indépendance et les ressources du DPO
2.2 Documentation
| Document | Statut | Propriétaire | Date de revue |
|---|---|---|---|
| ROPA (Registre de traitement) | |||
| Politique de confidentialité | |||
| Politique cookies | |||
| Politique de conservation des données | |||
| Politique de sécurité de l'information | |||
| Plan de réponse aux incidents | |||
| Procédures DSAR |
2.3 Registre des activités de traitement (ROPA)
- Documenter toutes les activités de traitement
- Inclure tous les champs RGPD requis
- Identifier la base légale pour chaque activité
- Documenter les durées de conservation
- Lister les destinataires et transferts
- Établir le processus de mise à jour
Phase 3 : Base légale et consentement
3.1 Documentation de la base légale
Pour chaque activité de traitement :
- Identifier la base légale appropriée
- Documenter la justification
- Pour les intérêts légitimes : compléter la LIA
- Pour le consentement : implémenter un mécanisme de consentement valide
- Mettre à jour la politique de confidentialité avec les bases légales
3.2 Gestion du consentement
Checklist de mise en œuvre du consentement :
Collecte :
- Concevoir des formulaires de consentement conformes
- Séparer le consentement pour différentes finalités
- Pas de cases pré-cochées
- Langage clair et simple
- Lien vers la politique de confidentialité
Enregistrement :
- Logger l'horodatage du consentement
- Enregistrer le texte/version du consentement
- Lier à l'identifiant utilisateur
- Stockage sécurisé
Retrait :
- Mécanisme de retrait facile
- Traiter les retraits rapidement
- Mettre à jour tous les systèmes
- Confirmer à l'utilisateur
3.3 Consentement marketing
- Auditer les listes marketing existantes
- Implémenter le double opt-in pour les nouvelles inscriptions
- Ajouter la désinscription à tous les emails marketing
- Re-consentir les listes si nécessaire
- Nettoyer les listes des contacts non consentis
Phase 4 : Transparence
4.1 Politique de confidentialité
- Contient toutes les informations requises par le RGPD
- Écrite en langage clair et simple
- Publiée et facilement accessible
- Couvre toutes les activités de traitement
- Actuelle et datée
- Disponible avant la collecte de données
4.2 Notices au moment opportun
- Les formulaires d'inscription incluent des mini-notices
- Les formulaires de contact expliquent l'utilisation des données
- Le processus de paiement est transparent
- L'application mobile a des notices appropriées
4.3 Conformité cookies
- Audit cookies complété
- Politique cookies publiée
- Bannière cookies implémentée
- Consentement avant les cookies non essentiels
- Accepter et rejeter également visibles
- Options de consentement granulaires
- Changement de préférences facile
- Blocage technique fonctionnel
Phase 5 : Droits des personnes concernées
5.1 Procédures de gestion des droits
| Droit | Procédure documentée | Processus testé | Délai respecté |
|---|---|---|---|
| Accès (DSAR) | Un mois | ||
| Rectification | Un mois | ||
| Effacement | Un mois | ||
| Limitation | Un mois | ||
| Portabilité | Un mois | ||
| Opposition | Immédiat pour le marketing |
5.2 Processus DSAR
Checklist de préparation DSAR :
Réception :
- Canal de demande établi
- Template d'accusé de réception prêt
- Processus de vérification d'identité
Traitement :
- Processus de découverte des données documenté
- Tous les systèmes interrogeables
- Template de réponse créé
- Processus de revue établi
Livraison :
- Méthode de livraison sécurisée
- Format de réponse défini
- Système de suivi en place
Délai :
- Délai d'un mois suivi
- Critères d'extension définis (deux mois supplémentaires pour les demandes complexes)
- Processus d'escalade établi
5.3 Options self-service
- Les utilisateurs peuvent voir leurs données in-app
- Les utilisateurs peuvent mettre à jour leurs informations
- Les utilisateurs peuvent télécharger leurs données
- Les utilisateurs peuvent supprimer leur compte
- Préférences marketing accessibles
Phase 6 : Sécurité des données
6.1 Mesures techniques
| Mesure | Implémentée | Testée | Documentée |
|---|---|---|---|
| Chiffrement au repos | |||
| Chiffrement en transit | |||
| Contrôles d'accès | |||
| Authentification multi-facteur | |||
| Sauvegardes sécurisées | |||
| Détection d'intrusion | |||
| Scan de vulnérabilités | |||
| Pratiques de développement sécurisé |
6.2 Mesures organisationnelles
- Politique de sécurité de l'information documentée
- Processus de gestion des accès établi
- Vérifications d'antécédents des employés (si approprié)
- Formation de sensibilisation à la sécurité implémentée
- Plan de réponse aux incidents créé
- Plan de continuité d'activité en place
6.3 Activités de sécurité régulières
- Revues d'accès trimestrielles planifiées
- Test de pénétration annuel planifié
- Évaluations de vulnérabilités régulières
- Calendrier de refresh de formation sécurité
- Revues de politique de sécurité planifiées
Phase 7 : Gestion des fournisseurs
7.1 Inventaire fournisseurs
- Lister tous les fournisseurs traitant des données personnelles
- Identifier les sous-traitants vs responsables
- Documenter les données partagées avec chacun
- Évaluer la posture de sécurité des fournisseurs
7.2 Accords de traitement des données
| Fournisseur | Statut DPA | CCT requises | Dernière revue |
|---|---|---|---|
7.3 Gestion continue des fournisseurs
- Processus de notification des sous-traitants ultérieurs
- Revues annuelles des fournisseurs planifiées
- Template de questionnaire de sécurité fournisseur
- Procédures d'offboarding/suppression des données
Phase 8 : Transferts internationaux
8.1 Évaluation des transferts
- Identifier tous les transferts internationaux de données
- Déterminer le statut d'adéquation du pays de destination
- Implémenter les garanties appropriées (CCT, etc.)
- Compléter les évaluations d'impact des transferts
- Documenter dans le ROPA et la politique de confidentialité
8.2 Mécanismes de transfert
| Transfert | Destination | Mécanisme | TIA complète |
|---|---|---|---|
Phase 9 : Préparation aux violations
9.1 Réponse aux incidents
- Plan de réponse aux incidents documenté
- Équipe de réponse identifiée
- Procédures d'escalade claires
- Templates de communication prêts
- Processus de notification à la DPA établi
9.2 Capacité de réponse aux violations
Checklist de préparation aux violations :
Détection :
- Systèmes de surveillance en place
- Canaux de signalement clairs
- Capacité de détection 24/7
Réponse :
- Équipe de réponse formée
- Procédures de confinement documentées
- Capacité forensique disponible
- Conseiller juridique accessible
Notification :
- Délai de 72 heures atteignable
- Coordonnées de la DPA à jour
- Templates de notification prêts
- Processus de notification individuelle
Documentation :
- Registre de violations maintenu
- Procédures d'investigation
- Processus de leçons apprises
Phase 10 : Formation et sensibilisation
10.1 Programme de formation
| Formation | Audience | Fréquence | Dernière réalisation |
|---|---|---|---|
| Vue d'ensemble RGPD | Tout le personnel | Annuelle | |
| Gestion des données | Manipulateurs de données | Annuelle | |
| Sensibilisation sécurité | Tout le personnel | Trimestrielle | |
| Réponse aux incidents | Équipe de réponse | Annuelle | |
| Privacy by Design | Développeurs | Annuelle |
10.2 Activités de sensibilisation
- Politique de confidentialité accessible à tout le personnel
- Communications régulières sur la privacy
- Point de contact privacy connu
- Procédures de signalement claires
Phase 11 : Conformité continue
11.1 Revues régulières
| Activité | Fréquence | Dernière réalisation | Prochaine échéance |
|---|---|---|---|
| Mise à jour ROPA | Trimestrielle | ||
| Revue politique de confidentialité | Annuelle | ||
| Revue DPA | Annuelle | ||
| Évaluation de sécurité | Annuelle | ||
| Refresh de formation | Annuelle | ||
| Revue fournisseurs | Annuelle |
11.2 Gestion du changement
- Impact privacy dans le processus de changement
- Nouveau traitement nécessite revue
- Nouveaux fournisseurs nécessitent DPA
- Nouvelles fonctionnalités évaluées pour la privacy
11.3 Maintenance de la documentation
- Toute documentation datée
- Contrôle de version en place
- Versions historiques conservées
- Revues régulières d'exactitude
Tableau de bord de conformité
Suivez votre statut de conformité global :
| Domaine | Statut | Priorité | Date cible |
|---|---|---|---|
| Gouvernance | 🟡 En cours | Haute | |
| Base légale | 🔴 Non commencé | Haute | |
| Transparence | 🟡 En cours | Haute | |
| Droits | 🔴 Non commencé | Moyenne | |
| Sécurité | 🟢 Complet | Haute | |
| Fournisseurs | 🔴 Non commencé | Moyenne | |
| Transferts | 🟡 En cours | Moyenne | |
| Préparation violations | 🔴 Non commencé | Haute | |
| Formation | 🟡 En cours | Moyenne |
Comment Bastion peut vous aider
La conformité RGPD est un engagement continu plutôt qu'un projet ponctuel. Travailler avec des partenaires expérimentés aide les organisations à atteindre la conformité efficacement et à la maintenir dans le temps.
| Défi | Comment nous aidons |
|---|---|
| Évaluation | Analyse des écarts complète pour comprendre votre état actuel |
| Documentation | Templates éprouvés et processus rationalisés pour la documentation requise |
| Mise en œuvre | Conseils experts pour s'assurer que les contrôles sont implémentés correctement |
| Formation | Programmes de sensibilisation du personnel adaptés aux différents rôles |
| Conformité continue | Surveillance continue et revues périodiques pour maintenir la conformité |
Notre approche de services managés apporte une expertise supplémentaire pour gérer le gros du travail, aidant à s'assurer que les choses sont bien faites du premier coup et évitant les itérations coûteuses qui surviennent souvent quand on aborde la conformité sans accompagnement expérimenté.
Prêt à discuter de votre approche de conformité RGPD ? Parlons-en →