[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fnYWxfkNR876sXml2hv84EUtPU6vAvaUNwFk4D2U1NrQ":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":47,"imageUrl":48,"imageThumbUrls":49,"id":57},false,"---\r\n\r\n## **Ce qu'il faut retenir**\r\n\r\n- **1. Un processus continu** : La protection des données n’est pas une action ponctuelle. Il s’agit d’une démarche proactive constante, conforme au principe de *Privacy by Design*, visant à sécuriser les données personnelles à chaque étape de leur cycle de vie.\r\n\r\n  **2. Étapes méthodologiques essentielles** : La mise en conformité implique plusieurs étapes clés : la cartographie des données, la tenue d’un registre des traitements, la réalisation d’analyses d’impact sur la vie privée (AIPD) pour les données sensibles et la sécurisation des systèmes d’information.\r\n\r\n  **3. Respect des droits des personnes** : Les entreprises doivent mettre en place des procédures efficaces pour répondre aux demandes des individus, notamment le droit d’accès, de rectification et à l’effacement (*droit à l’oubli*), dans les délais légaux.\r\n\r\n  **4. Culture de sécurité et sensibilisation** : La conformité passe également par la formation régulière du personnel aux bonnes pratiques et l’intégration de mesures techniques et organisationnelles pour prévenir les risques de fuite ou de violation de données.\r\n\r\n---\r\n\r\nLa démarche de conformité au RGPD, entré en vigueur le **25 mai 2018,** ne devrait pas être simplement perçue comme une contrainte technique ou juridique. Elle constitue avant tout une opportunité pour évaluer l'utilisation des services numériques au sein de la collectivité et garantir une prise en compte adéquate de la protection des données personnelles.\r\n\r\nLa mise en conformité au RGPD implique plusieurs étapes successives, et certaines de ces actions nécessitent une continuité dans le temps pour être réellement efficaces, notamment les **mises à jour** régulières des procédures et des mesures techniques et organisationnelles.\r\n\r\nIl s'agit d'une démarche active et constante, impliquant notamment le rôle du **délégué à la protection des données personnelles** (DPO), chargé de veiller au respect du règlement au sein de l'organisation.\r\n\r\nVoici un guide pratique pour vous aider à vous mettre en **conformité avec le RGPD**.\r\n\r\n## 1. Cartographier les données collectées\r\n\r\n![se mettre en conformité rgpd](https://static.dastra.eu/richtextbackoffice/0fb80efb-42a0-483f-a0d2-2752b38f6945/comment-se-mettre-en-2-original.png)\r\n\r\nLa création d'une [cartographie des données](https://www.dastra.eu/fr/product-features/data-mapping) simplifie la gestion de l'information et assure une transparence complète sur la manipulation des données.\r\n\r\n**Comment procéder ?**\r\n\r\nIl est essentiel de commencer par identifier et représenter graphiquement l'ensemble des données que vous avez collectées.\r\n\r\nQuelles informations personnelles recueillez vous ? Quelles données permettent d'identifier directement ou indirectement des individus ?\r\n\r\nCertaines données sont facilement identifiables, telles que les noms, prénoms, adresses e-mail ou encore le **numéro de téléphone**. Cependant, d'autres, comme les adresses IP, peuvent être plus complexes à repérer.\r\n\r\nEnsuite, interrogez vous sur la population concernée (par exemple : enfants, salariés, personnes vulnérables) et réfléchissez à la manière dont vous allez récupérer ces données (collecte numérique ou papier).\r\n\r\nLa cartographie des **données traitées** doit englober, au minimum, les informations nécessaires figurant dans le registre des traitements, conformément à l'article 30 du RGPD. Cela inclut notamment :\r\n\r\n- Les finalités du traitement,\r\n- Les catégories de données,\r\n- Les catégories de personnes concernées,\r\n- Les catégories de destinataires des données,\r\n- Les mesures de sécurité appliquées au traitement\r\n\r\n## 2. Cartographier les données sensibles\r\n\r\n![conformité rgpd](https://static.dastra.eu/richtextbackoffice/6bc82b3f-3735-4f70-8ddb-98ab04d70a19/comment-se-mettre-en-3-original.png)\r\n\r\nParmi les diverses informations personnelles que vous pouvez recueillir, certaines sont considérées comme sensibles. Cela inclut :\r\n\r\n- Origine raciale ou ethnique\r\n- Opinion politique\r\n- Convictions religieuses ou philosophiques\r\n- Appartenance syndicale\r\n- Données génétiques\r\n- Données biométriques\r\n- Données concernant la santé ou l'orientation sexuelle\r\n\r\nPar défaut, la collecte de ces données est interdite sauf [exception](https://www.dastra.eu/fr/guide/donnees-sensibles-article-9-rgpd/363).\r\n\r\nPar exemple, une application recensant les personnes atteintes d'une maladie ne collectera pas les mêmes informations qu'une application de prise de rendez-vous.\r\n\r\n## 3. Définir le but de collecte des données\r\n\r\n![Etape de mise en conformité](https://static.dastra.eu/richtextbackoffice/65ba9573-db50-4b1e-9338-a61ce0a4b394/comment-se-mettre-en-4-original.png)\r\n\r\nAprès avoir réfléchi aux données collectées, il est essentiel de déterminer dans quel but vous les collectez.\r\n\r\nSeules les données nécessaires à l'accomplissement des objectifs fixés devraient être collectées. Ce principe est connu sous le nom de minimisation des données.\r\n\r\nLe [principe de minimisation](https://www.dastra.eu/fr/guide/minimisation-des-donnees-a-caractere-personnel/362) prévoit que les données à caractères personnelles soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.\r\n\r\nPar exemple, recueillir des informations sur l'orientation religieuse d'un employé ne semble pas être nécessaire pour les processus de gestion des ressources humaines.\r\n\r\nIl est important de mettre en place des mécanismes clairs et faciles d'utilisation (case à cocher, signature manuscrite, ...) pour recueillir ce consentement et de permettre aux **utilisateurs de donner** leur consentement librement et de le retirer à tout moment.\r\n\r\n## 4. Ce but est-il justifié ?\r\n\r\n![données](https://static.dastra.eu/richtextbackoffice/2a9685fe-4ffd-40d7-bf6f-a988ea88a66c/comment-se-mettre-en-5-original.png)\r\n\r\nNous venons de voir la collecte de données. Cette collecte prend la forme de fichiers (fichiers clients, fichiers de salariés, ...) , désignés comme des [Traitements ](https://www.dastra.eu/fr/guide/traitement-donnees-personnelles/386)selon le règlement général de protection des données (RGPD). Chaque Traitement doit être légalement fondé, conformément aux dispositions du RGPD.\r\n\r\nCe fondement peut être par exemple l'intérêt légitime, le consentement ou encore le contrat. Une fois que vous avez choisi votre [fondement légal](https://www.dastra.eu/fr/guide/bases-legales-rgpd/2495), cela aura des implications pratiques.\r\n\r\nPar exemple si le fondement de votre collecte est le consentement, le RGPD exige que les entreprises obtiennent le consentement des individus pour traiter leurs données personnelles.\r\n\r\nIl est important de mettre en place des mécanismes clairs et faciles d'utilisation (case à cocher, signature manuscrite, ...) pour recueillir ce consentement et de permettre aux utilisateurs de le retirer à tout moment.\r\n\r\n### Les modifications apportées par le RGPD sur le consentement\r\n\r\n![consentement rgpd](https://static.dastra.eu/richtextbackoffice/41f8b165-24d2-47f5-9617-62879fd6e21f/comment-se-mettre-en-6-original.png)\r\n\r\nLe RGPD n'a pas radicalement altéré le concept de consentement des individus, mais l'a plutôt consolidé en y ajoutant certaines garanties, notamment :\r\n\r\n1. **Droit de rétractation** : les individus ont le droit de retirer leur consentement à tout moment.\r\n2. **Preuve du consentement** : les responsables du traitement doivent être en mesure de prouver que le consentement a été donné. Nous vous conseillons de tenir un registre des consentements.\r\n3. **Consentement explicite** : le consentement des individus doit être exprès et manifesté de manière claire.\r\n4. **Consentement des mineurs** : Les mineurs de moins de 15 ans en France ne peuvent consentir au traitement de leurs données personnelles sans l'autorisation parentale.\r\n\r\n### Comment obtenir le consentement RGPD ?\r\n\r\nLe RGPD établit quatre critères pour un consentement valable :\r\n\r\n1. **Libre** : le consentement doit être donné sans contrainte ni influence.\r\n2. **Spécifique** : il doit être lié à une finalité spécifique.\r\n3. **Éclairé** : les individus doivent être informés avant de donner leur consentement.\r\n4. **Univoque** : le consentement doit être clairement exprimé et ne pas être ambigu. Les cases pré-cochées et les consentements groupés ne sont pas considérés comme univoques.\r\n\r\n## 5. Combien de temps conserver les données ?\r\n\r\n![mettre en conformité](https://static.dastra.eu/richtextbackoffice/e0167a49-cfa4-47e9-af35-3465862d1406/comment-se-mettre-en-7-original.png)\r\n\r\nUne fois que vous avez identifié les données à utiliser, atteint l'objectif et déterminé le fondement légal, il est essentiel de réfléchir à la période pendant laquelle vous allez conserver ces données. Il est crucial d'harmoniser cette durée de conservation avec l'objectif préalablement fixé, car il n'est pas possible de conserver indéfiniment les données.\r\n\r\nPar exemple, demandez-vous s'il est nécessaire de conserver pendant plus de 3 ans les données de candidats pour un recrutement que vous n'avez jamais contactés. Une fois que vous aurez défini cette durée de conservation et qu'elle sera écoulée, il sera nécessaire de mettre en place des mécanismes de suppression ou d'anonymisation des données.\r\n\r\nOn distingue trois types d'**archivage des données personnelles** :\r\n\r\n- **Archivage courant** : Il s'agit de la conservation des données par le responsable de traitement en fonction de la finalité du traitement. La durée peut être déterminée contractuellement entre le responsable de traitement et la personne concernée.\r\n- **Archivage intermédiaire** : Ce type d'archivage intervient lorsque les données peuvent être conservées au-delà de la durée initialement prévue dans le contrat. Cela peut se produire, par exemple, lorsque la loi impose une durée supérieure à celle convenue contractuellement.\r\n- **Archivage définitif** : Certains types de données ne peuvent faire l'objet d'aucune destruction permanente. C'est notamment le cas des données d'intérêt public, telles que celles ayant une valeur historique, scientifique ou statistique.\r\n\r\n## 6. Communication des données\r\n\r\n![Transfert des données](https://static.dastra.eu/richtextbackoffice/b99c756e-21e6-476c-ae9a-3c7f11f80af7/comment-se-mettre-en-8-original.png)\r\n\r\nMaintenant que vous avez examiné les données disponibles au sein de votre organisation, il est crucial de définir vos objectifs, de comprendre les bases légales, de déterminer la durée de conservation et de réfléchir à la transmission de ces données.\r\n\r\nVous avez la possibilité de les transférer en interne, mais dans ce cas, il est essentiel de vous interroger sur les personnes autorisées à y accéder. En effet, l'accès aux données ne doit pas être généralisé à tous les membres de l'organisation. Il peut être nécessaire de créer des profils d'autorisation spécifiques afin de limiter l'accès aux données uniquement aux personnes qui ont besoin d'en connaître.\r\n\r\nAlternativement, vous pouvez choisir de transférer les données en dehors de votre organisation. Dans cette optique, les destinataires peuvent être divers, tels que l'hébergeur, le CRM, ou les outils d'envoi de mails. Dans ce cas, il est impératif de vérifier que ces partenaires ou outils sont conformes au RGPD, notamment en leur qualité de [sous-traitant](https://www.dastra.eu/fr/guide/sous-traitant/388).\r\n\r\nLes destinataires peuvent également inclure des partenaires externes. Dans ce scénario, il est essentiel de s'assurer que les personnes concernées ont été informées de manière adéquate et, le cas échéant, que leur consentement a été obtenu.\r\n\r\n**Attention !** En cas de [transfert de données](https://www.dastra.eu/fr/guide/transfert-de-donnees-a-caractere-personnel/410) en dehors de l’**Union européenne**, des mesures de sécurité supplémentaires doivent être mises en place pour garantir la protection des données.\r\n\r\n## 7. Comment informer les personnes concernées de cette collecte de données ?\r\n\r\n![collecte de données](https://static.dastra.eu/richtextbackoffice/1a61b825-ffa1-4bca-9ee7-a00a8f84e7fa/comment-se-mettre-en-9-original.png)Les personnes concernées par les traitements doivent recevoir une [information complète](https://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916) sur l'utilisation de leurs données. Nous vous encourageons à élaborer des politiques de confidentialité claires et transparentes décrivant le processus de collecte, de traitement, de stockage et de partage des données personnelles. Ces politiques doivent être facilement accessibles et compréhensibles pour les utilisateurs.\r\n\r\n## 8. Répondre aux demandes d'exercices de droit\r\n\r\n![Conformité RGPD](https://static.dastra.eu/richtextbackoffice/e69a7d8e-59ad-4394-b751-2dbcf8f4d8a5/comment-se-mettre-en-10-original.png)\r\n\r\nLes individus dont vous collectez des données personnelles possèdent des [droits](https://www.dastra.eu/fr/guide/tuto-rgpd-gerer-les-demandes-dexercices-des-droits-et-dastra/51713) sur leur utilisation. Ils peuvent ainsi demander la suppression, la modification ou l'accès à leurs données. Ces droits comprennent notamment :\r\n\r\n- Droit de suppression\r\n- Droit de modification\r\n- Droit d'accès\r\n\r\nLes personnes concernées ont le droit de vous demander tous les emails qui vont les concerner.\r\n\r\nLorsque vous recevez une telle demande, vous disposez d'un délai maximal d'un mois pour y répondre. Il est recommandé d'être bien organisé, car ces individus ont le droit de saisir la CNIL, l'autorité compétente, si vous ne répondez pas dans les délais impartis.\r\n\r\nIl est préférable d'utiliser un [logiciel RGPD](https://www.dastra.eu/fr) tel que Dastra, qui vous permet de gérer efficacement ces [demandes d'exercice de droits](https://www.dastra.eu/fr/product-features/data-subject-requests).\r\n\r\n## 9. Avez-vous mis en place des mesures de sécurité ?\r\n\r\n![mise en confomité](https://static.dastra.eu/richtextbackoffice/b2d1b7d1-8405-4eb8-9958-8ab294e21c1a/comment-se-mettre-en-11-original.png)\r\n\r\nAssurez-vous que des mesures de sécurité robustes sont en place pour protéger les données personnelles. Nous vous invitons à veiller à sécuriser vos traitements. C'est-à-dire, mettre en place des mesures tant physiques que informatiques pour vous assurer qu'il n'y ait pas d'accès non autorisé aux données personnelles ou alors pour prévenir de toute perte ou altération des données personnelles.\r\n\r\nCela inclut la cryptographie, la gestion des accès, la formation du personnel et la réalisation d'audits réguliers pour identifier et corriger les vulnérabilités.\r\n\r\nEnfin, en dernière mesure, nous vous invitons à mettre en place en interne un processus de notification en cas de [violation de données personnelles](https://www.dastra.eu/fr/product-features/data-breach). Dans ce cas là, vous devez informer la CNIL et les personnes concernées si cette violation présente un risque grave pour leurs droits et libertés, par exemple leur vie privée.\r\n\r\n## 10. Sensibiliser le Personnel\r\n\r\n![Conformité RGPD Dastra](https://static.dastra.eu/richtextbackoffice/bca33555-64e0-428a-9f23-86dfa27130f6/comment-se-mettre-en-12-original.png)La conformité au RGPD nécessite la collaboration de l'ensemble du personnel. Assurez-vous que tous les employés sont informés des politiques et procédures en place, et fournissez une formation régulière sur les principes du RGPD.\r\n\r\n## 11. Effectuer des Évaluations d'Impact sur la Protection des Données\r\n\r\n![EIPD](https://static.dastra.eu/richtextbackoffice/298bbae6-fdd2-4782-9baf-3cc1c2c7b82c/comment-se-mettre-en-13-original.png)Lors de la mise en place de nouveaux processus ou technologies susceptibles d'impacter la protection des données, réalisez des Analyses d'Impact sur la Protection des Données pour identifier et atténuer les risques potentiels pour les droits et libertés des personnes concernées par le traitement.\r\n\r\n## 12. Suivre l'Évolution des Réglementations\r\n\r\n![réglementation](https://static.dastra.eu/richtextbackoffice/e2dbe712-d085-4e3a-8076-e44e73da22fd/comment-se-mettre-en-14-original.png)\r\n\r\nLe RGPD est une législation dynamique. Assurez-vous de [rester informé](https://www.dastra.eu/fr/product-features/watch) sur les évolutions législatives en matière de protection des données pour adapter vos politiques et procédures en conséquence.\r\n\r\n## L'importance de la conformité au RGPD\r\n\r\nLa conformité au RGPD est essentielle pour toute organisation traitant des données personnelles. Elle vise à protéger les droits des individus et exige une approche proactive et vigilante pour garantir le respect des règles et la sécurité des données.\r\n\r\nCe processus peut être complexe, nécessitant formations, conseils juridiques et ressources. Il est crucial de respecter ces obligations légales pour éviter des sanctions et renforcer la confiance des clients.\r\n\r\nVous souhaitez en savoir plus sur la mise en conformité RGPD ? Contactez-nous !\r\n\r\n{% button href=\"https://www.dastra.eu/fr/contacts\" text=\"Nous Contacter\" role=\"button\" class=\"btn btn-primary\" target=\"\\_blank\" %}","\u003Chr />\r\n\u003Ch2 id=\"ce-quil-faut-retenir\">\u003Cstrong>Ce qu'il faut retenir\u003C/strong>\u003C/h2>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>1. Un processus continu\u003C/strong> : La protection des données n’est pas une action ponctuelle. Il s’agit d’une démarche proactive constante, conforme au principe de \u003Cem>Privacy by Design\u003C/em>, visant à sécuriser les données personnelles à chaque étape de leur cycle de vie.\u003C/p>\r\n\u003Cp>\u003Cstrong>2. Étapes méthodologiques essentielles\u003C/strong> : La mise en conformité implique plusieurs étapes clés : la cartographie des données, la tenue d’un registre des traitements, la réalisation d’analyses d’impact sur la vie privée (AIPD) pour les données sensibles et la sécurisation des systèmes d’information.\u003C/p>\r\n\u003Cp>\u003Cstrong>3. Respect des droits des personnes\u003C/strong> : Les entreprises doivent mettre en place des procédures efficaces pour répondre aux demandes des individus, notamment le droit d’accès, de rectification et à l’effacement (\u003Cem>droit à l’oubli\u003C/em>), dans les délais légaux.\u003C/p>\r\n\u003Cp>\u003Cstrong>4. Culture de sécurité et sensibilisation\u003C/strong> : La conformité passe également par la formation régulière du personnel aux bonnes pratiques et l’intégration de mesures techniques et organisationnelles pour prévenir les risques de fuite ou de violation de données.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Chr />\r\n\u003Cp>La démarche de conformité au RGPD, entré en vigueur le \u003Cstrong>25 mai 2018,\u003C/strong> ne devrait pas être simplement perçue comme une contrainte technique ou juridique. Elle constitue avant tout une opportunité pour évaluer l'utilisation des services numériques au sein de la collectivité et garantir une prise en compte adéquate de la protection des données personnelles.\u003C/p>\r\n\u003Cp>La mise en conformité au RGPD implique plusieurs étapes successives, et certaines de ces actions nécessitent une continuité dans le temps pour être réellement efficaces, notamment les \u003Cstrong>mises à jour\u003C/strong> régulières des procédures et des mesures techniques et organisationnelles.\u003C/p>\r\n\u003Cp>Il s'agit d'une démarche active et constante, impliquant notamment le rôle du \u003Cstrong>délégué à la protection des données personnelles\u003C/strong> (DPO), chargé de veiller au respect du règlement au sein de l'organisation.\u003C/p>\r\n\u003Cp>Voici un guide pratique pour vous aider à vous mettre en \u003Cstrong>conformité avec le RGPD\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"cartographier-les-donnees-collectees\">1. Cartographier les données collectées\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/0fb80efb-42a0-483f-a0d2-2752b38f6945/comment-se-mettre-en-2-original.png\" alt=\"se mettre en conformité rgpd\" />\u003C/p>\r\n\u003Cp>La création d'une \u003Ca href=\"https://www.dastra.eu/fr/product-features/data-mapping\">cartographie des données\u003C/a> simplifie la gestion de l'information et assure une transparence complète sur la manipulation des données.\u003C/p>\r\n\u003Cp>\u003Cstrong>Comment procéder ?\u003C/strong>\u003C/p>\r\n\u003Cp>Il est essentiel de commencer par identifier et représenter graphiquement l'ensemble des données que vous avez collectées.\u003C/p>\r\n\u003Cp>Quelles informations personnelles recueillez vous ? Quelles données permettent d'identifier directement ou indirectement des individus ?\u003C/p>\r\n\u003Cp>Certaines données sont facilement identifiables, telles que les noms, prénoms, adresses e-mail ou encore le \u003Cstrong>numéro de téléphone\u003C/strong>. Cependant, d'autres, comme les adresses IP, peuvent être plus complexes à repérer.\u003C/p>\r\n\u003Cp>Ensuite, interrogez vous sur la population concernée (par exemple : enfants, salariés, personnes vulnérables) et réfléchissez à la manière dont vous allez récupérer ces données (collecte numérique ou papier).\u003C/p>\r\n\u003Cp>La cartographie des \u003Cstrong>données traitées\u003C/strong> doit englober, au minimum, les informations nécessaires figurant dans le registre des traitements, conformément à l'article 30 du RGPD. Cela inclut notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Les finalités du traitement,\u003C/li>\r\n\u003Cli>Les catégories de données,\u003C/li>\r\n\u003Cli>Les catégories de personnes concernées,\u003C/li>\r\n\u003Cli>Les catégories de destinataires des données,\u003C/li>\r\n\u003Cli>Les mesures de sécurité appliquées au traitement\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"cartographier-les-donnees-sensibles\">2. Cartographier les données sensibles\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/6bc82b3f-3735-4f70-8ddb-98ab04d70a19/comment-se-mettre-en-3-original.png\" alt=\"conformité rgpd\" />\u003C/p>\r\n\u003Cp>Parmi les diverses informations personnelles que vous pouvez recueillir, certaines sont considérées comme sensibles. Cela inclut :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Origine raciale ou ethnique\u003C/li>\r\n\u003Cli>Opinion politique\u003C/li>\r\n\u003Cli>Convictions religieuses ou philosophiques\u003C/li>\r\n\u003Cli>Appartenance syndicale\u003C/li>\r\n\u003Cli>Données génétiques\u003C/li>\r\n\u003Cli>Données biométriques\u003C/li>\r\n\u003Cli>Données concernant la santé ou l'orientation sexuelle\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Par défaut, la collecte de ces données est interdite sauf \u003Ca href=\"https://www.dastra.eu/fr/guide/donnees-sensibles-article-9-rgpd/363\">exception\u003C/a>.\u003C/p>\r\n\u003Cp>Par exemple, une application recensant les personnes atteintes d'une maladie ne collectera pas les mêmes informations qu'une application de prise de rendez-vous.\u003C/p>\r\n\u003Ch2 id=\"definir-le-but-de-collecte-des-donnees\">3. Définir le but de collecte des données\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/65ba9573-db50-4b1e-9338-a61ce0a4b394/comment-se-mettre-en-4-original.png\" alt=\"Etape de mise en conformité\" />\u003C/p>\r\n\u003Cp>Après avoir réfléchi aux données collectées, il est essentiel de déterminer dans quel but vous les collectez.\u003C/p>\r\n\u003Cp>Seules les données nécessaires à l'accomplissement des objectifs fixés devraient être collectées. Ce principe est connu sous le nom de minimisation des données.\u003C/p>\r\n\u003Cp>Le \u003Ca href=\"https://www.dastra.eu/fr/guide/minimisation-des-donnees-a-caractere-personnel/362\">principe de minimisation\u003C/a> prévoit que les données à caractères personnelles soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.\u003C/p>\r\n\u003Cp>Par exemple, recueillir des informations sur l'orientation religieuse d'un employé ne semble pas être nécessaire pour les processus de gestion des ressources humaines.\u003C/p>\r\n\u003Cp>Il est important de mettre en place des mécanismes clairs et faciles d'utilisation (case à cocher, signature manuscrite, ...) pour recueillir ce consentement et de permettre aux \u003Cstrong>utilisateurs de donner\u003C/strong> leur consentement librement et de le retirer à tout moment.\u003C/p>\r\n\u003Ch2 id=\"ce-but-est-il-justifie\">4. Ce but est-il justifié ?\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/2a9685fe-4ffd-40d7-bf6f-a988ea88a66c/comment-se-mettre-en-5-original.png\" alt=\"données\" />\u003C/p>\r\n\u003Cp>Nous venons de voir la collecte de données. Cette collecte prend la forme de fichiers (fichiers clients, fichiers de salariés, ...) , désignés comme des \u003Ca href=\"https://www.dastra.eu/fr/guide/traitement-donnees-personnelles/386\">Traitements \u003C/a>selon le règlement général de protection des données (RGPD). Chaque Traitement doit être légalement fondé, conformément aux dispositions du RGPD.\u003C/p>\r\n\u003Cp>Ce fondement peut être par exemple l'intérêt légitime, le consentement ou encore le contrat. Une fois que vous avez choisi votre \u003Ca href=\"https://www.dastra.eu/fr/guide/bases-legales-rgpd/2495\">fondement légal\u003C/a>, cela aura des implications pratiques.\u003C/p>\r\n\u003Cp>Par exemple si le fondement de votre collecte est le consentement, le RGPD exige que les entreprises obtiennent le consentement des individus pour traiter leurs données personnelles.\u003C/p>\r\n\u003Cp>Il est important de mettre en place des mécanismes clairs et faciles d'utilisation (case à cocher, signature manuscrite, ...) pour recueillir ce consentement et de permettre aux utilisateurs de le retirer à tout moment.\u003C/p>\r\n\u003Ch3 id=\"les-modifications-apportees-par-le-rgpd-sur-le-consentement\">Les modifications apportées par le RGPD sur le consentement\u003C/h3>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/41f8b165-24d2-47f5-9617-62879fd6e21f/comment-se-mettre-en-6-original.png\" alt=\"consentement rgpd\" />\u003C/p>\r\n\u003Cp>Le RGPD n'a pas radicalement altéré le concept de consentement des individus, mais l'a plutôt consolidé en y ajoutant certaines garanties, notamment :\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Cstrong>Droit de rétractation\u003C/strong> : les individus ont le droit de retirer leur consentement à tout moment.\u003C/li>\r\n\u003Cli>\u003Cstrong>Preuve du consentement\u003C/strong> : les responsables du traitement doivent être en mesure de prouver que le consentement a été donné. Nous vous conseillons de tenir un registre des consentements.\u003C/li>\r\n\u003Cli>\u003Cstrong>Consentement explicite\u003C/strong> : le consentement des individus doit être exprès et manifesté de manière claire.\u003C/li>\r\n\u003Cli>\u003Cstrong>Consentement des mineurs\u003C/strong> : Les mineurs de moins de 15 ans en France ne peuvent consentir au traitement de leurs données personnelles sans l'autorisation parentale.\u003C/li>\r\n\u003C/ol>\r\n\u003Ch3 id=\"comment-obtenir-le-consentement-rgpd\">Comment obtenir le consentement RGPD ?\u003C/h3>\r\n\u003Cp>Le RGPD établit quatre critères pour un consentement valable :\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Cstrong>Libre\u003C/strong> : le consentement doit être donné sans contrainte ni influence.\u003C/li>\r\n\u003Cli>\u003Cstrong>Spécifique\u003C/strong> : il doit être lié à une finalité spécifique.\u003C/li>\r\n\u003Cli>\u003Cstrong>Éclairé\u003C/strong> : les individus doivent être informés avant de donner leur consentement.\u003C/li>\r\n\u003Cli>\u003Cstrong>Univoque\u003C/strong> : le consentement doit être clairement exprimé et ne pas être ambigu. Les cases pré-cochées et les consentements groupés ne sont pas considérés comme univoques.\u003C/li>\r\n\u003C/ol>\r\n\u003Ch2 id=\"combien-de-temps-conserver-les-donnees\">5. Combien de temps conserver les données ?\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/e0167a49-cfa4-47e9-af35-3465862d1406/comment-se-mettre-en-7-original.png\" alt=\"mettre en conformité\" />\u003C/p>\r\n\u003Cp>Une fois que vous avez identifié les données à utiliser, atteint l'objectif et déterminé le fondement légal, il est essentiel de réfléchir à la période pendant laquelle vous allez conserver ces données. Il est crucial d'harmoniser cette durée de conservation avec l'objectif préalablement fixé, car il n'est pas possible de conserver indéfiniment les données.\u003C/p>\r\n\u003Cp>Par exemple, demandez-vous s'il est nécessaire de conserver pendant plus de 3 ans les données de candidats pour un recrutement que vous n'avez jamais contactés. Une fois que vous aurez défini cette durée de conservation et qu'elle sera écoulée, il sera nécessaire de mettre en place des mécanismes de suppression ou d'anonymisation des données.\u003C/p>\r\n\u003Cp>On distingue trois types d'\u003Cstrong>archivage des données personnelles\u003C/strong> :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>Archivage courant\u003C/strong> : Il s'agit de la conservation des données par le responsable de traitement en fonction de la finalité du traitement. La durée peut être déterminée contractuellement entre le responsable de traitement et la personne concernée.\u003C/li>\r\n\u003Cli>\u003Cstrong>Archivage intermédiaire\u003C/strong> : Ce type d'archivage intervient lorsque les données peuvent être conservées au-delà de la durée initialement prévue dans le contrat. Cela peut se produire, par exemple, lorsque la loi impose une durée supérieure à celle convenue contractuellement.\u003C/li>\r\n\u003Cli>\u003Cstrong>Archivage définitif\u003C/strong> : Certains types de données ne peuvent faire l'objet d'aucune destruction permanente. C'est notamment le cas des données d'intérêt public, telles que celles ayant une valeur historique, scientifique ou statistique.\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"communication-des-donnees\">6. Communication des données\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/b99c756e-21e6-476c-ae9a-3c7f11f80af7/comment-se-mettre-en-8-original.png\" alt=\"Transfert des données\" />\u003C/p>\r\n\u003Cp>Maintenant que vous avez examiné les données disponibles au sein de votre organisation, il est crucial de définir vos objectifs, de comprendre les bases légales, de déterminer la durée de conservation et de réfléchir à la transmission de ces données.\u003C/p>\r\n\u003Cp>Vous avez la possibilité de les transférer en interne, mais dans ce cas, il est essentiel de vous interroger sur les personnes autorisées à y accéder. En effet, l'accès aux données ne doit pas être généralisé à tous les membres de l'organisation. Il peut être nécessaire de créer des profils d'autorisation spécifiques afin de limiter l'accès aux données uniquement aux personnes qui ont besoin d'en connaître.\u003C/p>\r\n\u003Cp>Alternativement, vous pouvez choisir de transférer les données en dehors de votre organisation. Dans cette optique, les destinataires peuvent être divers, tels que l'hébergeur, le CRM, ou les outils d'envoi de mails. Dans ce cas, il est impératif de vérifier que ces partenaires ou outils sont conformes au RGPD, notamment en leur qualité de \u003Ca href=\"https://www.dastra.eu/fr/guide/sous-traitant/388\">sous-traitant\u003C/a>.\u003C/p>\r\n\u003Cp>Les destinataires peuvent également inclure des partenaires externes. Dans ce scénario, il est essentiel de s'assurer que les personnes concernées ont été informées de manière adéquate et, le cas échéant, que leur consentement a été obtenu.\u003C/p>\r\n\u003Cp>\u003Cstrong>Attention !\u003C/strong> En cas de \u003Ca href=\"https://www.dastra.eu/fr/guide/transfert-de-donnees-a-caractere-personnel/410\">transfert de données\u003C/a> en dehors de l’\u003Cstrong>Union européenne\u003C/strong>, des mesures de sécurité supplémentaires doivent être mises en place pour garantir la protection des données.\u003C/p>\r\n\u003Ch2 id=\"comment-informer-les-personnes-concernees-de-cette-collecte-de-donnees\">7. Comment informer les personnes concernées de cette collecte de données ?\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/1a61b825-ffa1-4bca-9ee7-a00a8f84e7fa/comment-se-mettre-en-9-original.png\" alt=\"collecte de données\" />Les personnes concernées par les traitements doivent recevoir une \u003Ca href=\"https://www.dastra.eu/fr/guide/fiche-pratique-linformation-des-personnes/51916\">information complète\u003C/a> sur l'utilisation de leurs données. Nous vous encourageons à élaborer des politiques de confidentialité claires et transparentes décrivant le processus de collecte, de traitement, de stockage et de partage des données personnelles. Ces politiques doivent être facilement accessibles et compréhensibles pour les utilisateurs.\u003C/p>\r\n\u003Ch2 id=\"repondre-aux-demandes-dexercices-de-droit\">8. Répondre aux demandes d'exercices de droit\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/e69a7d8e-59ad-4394-b751-2dbcf8f4d8a5/comment-se-mettre-en-10-original.png\" alt=\"Conformité RGPD\" />\u003C/p>\r\n\u003Cp>Les individus dont vous collectez des données personnelles possèdent des \u003Ca href=\"https://www.dastra.eu/fr/guide/tuto-rgpd-gerer-les-demandes-dexercices-des-droits-et-dastra/51713\">droits\u003C/a> sur leur utilisation. Ils peuvent ainsi demander la suppression, la modification ou l'accès à leurs données. Ces droits comprennent notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Droit de suppression\u003C/li>\r\n\u003Cli>Droit de modification\u003C/li>\r\n\u003Cli>Droit d'accès\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Les personnes concernées ont le droit de vous demander tous les emails qui vont les concerner.\u003C/p>\r\n\u003Cp>Lorsque vous recevez une telle demande, vous disposez d'un délai maximal d'un mois pour y répondre. Il est recommandé d'être bien organisé, car ces individus ont le droit de saisir la CNIL, l'autorité compétente, si vous ne répondez pas dans les délais impartis.\u003C/p>\r\n\u003Cp>Il est préférable d'utiliser un \u003Ca href=\"https://www.dastra.eu/fr\">logiciel RGPD\u003C/a> tel que Dastra, qui vous permet de gérer efficacement ces \u003Ca href=\"https://www.dastra.eu/fr/product-features/data-subject-requests\">demandes d'exercice de droits\u003C/a>.\u003C/p>\r\n\u003Ch2 id=\"avez-vous-mis-en-place-des-mesures-de-securite\">9. Avez-vous mis en place des mesures de sécurité ?\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/b2d1b7d1-8405-4eb8-9958-8ab294e21c1a/comment-se-mettre-en-11-original.png\" alt=\"mise en confomité\" />\u003C/p>\r\n\u003Cp>Assurez-vous que des mesures de sécurité robustes sont en place pour protéger les données personnelles. Nous vous invitons à veiller à sécuriser vos traitements. C'est-à-dire, mettre en place des mesures tant physiques que informatiques pour vous assurer qu'il n'y ait pas d'accès non autorisé aux données personnelles ou alors pour prévenir de toute perte ou altération des données personnelles.\u003C/p>\r\n\u003Cp>Cela inclut la cryptographie, la gestion des accès, la formation du personnel et la réalisation d'audits réguliers pour identifier et corriger les vulnérabilités.\u003C/p>\r\n\u003Cp>Enfin, en dernière mesure, nous vous invitons à mettre en place en interne un processus de notification en cas de \u003Ca href=\"https://www.dastra.eu/fr/product-features/data-breach\">violation de données personnelles\u003C/a>. Dans ce cas là, vous devez informer la CNIL et les personnes concernées si cette violation présente un risque grave pour leurs droits et libertés, par exemple leur vie privée.\u003C/p>\r\n\u003Ch2 id=\"sensibiliser-le-personnel\">10. Sensibiliser le Personnel\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/bca33555-64e0-428a-9f23-86dfa27130f6/comment-se-mettre-en-12-original.png\" alt=\"Conformité RGPD Dastra\" />La conformité au RGPD nécessite la collaboration de l'ensemble du personnel. Assurez-vous que tous les employés sont informés des politiques et procédures en place, et fournissez une formation régulière sur les principes du RGPD.\u003C/p>\r\n\u003Ch2 id=\"effectuer-des-evaluations-dimpact-sur-la-protection-des-donnees\">11. Effectuer des Évaluations d'Impact sur la Protection des Données\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/298bbae6-fdd2-4782-9baf-3cc1c2c7b82c/comment-se-mettre-en-13-original.png\" alt=\"EIPD\" />Lors de la mise en place de nouveaux processus ou technologies susceptibles d'impacter la protection des données, réalisez des Analyses d'Impact sur la Protection des Données pour identifier et atténuer les risques potentiels pour les droits et libertés des personnes concernées par le traitement.\u003C/p>\r\n\u003Ch2 id=\"suivre-levolution-des-reglementations\">12. Suivre l'Évolution des Réglementations\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/e2dbe712-d085-4e3a-8076-e44e73da22fd/comment-se-mettre-en-14-original.png\" alt=\"réglementation\" />\u003C/p>\r\n\u003Cp>Le RGPD est une législation dynamique. Assurez-vous de \u003Ca href=\"https://www.dastra.eu/fr/product-features/watch\">rester informé\u003C/a> sur les évolutions législatives en matière de protection des données pour adapter vos politiques et procédures en conséquence.\u003C/p>\r\n\u003Ch2 id=\"limportance-de-la-conformite-au-rgpd\">L'importance de la conformité au RGPD\u003C/h2>\r\n\u003Cp>La conformité au RGPD est essentielle pour toute organisation traitant des données personnelles. Elle vise à protéger les droits des individus et exige une approche proactive et vigilante pour garantir le respect des règles et la sécurité des données.\u003C/p>\r\n\u003Cp>Ce processus peut être complexe, nécessitant formations, conseils juridiques et ressources. Il est crucial de respecter ces obligations légales pour éviter des sanctions et renforcer la confiance des clients.\u003C/p>\r\n\u003Cp>Vous souhaitez en savoir plus sur la mise en conformité RGPD ? Contactez-nous !\u003C/p>\r\n\u003Cdiv class=\"content-btn-container\">\u003Ca href=\"https://www.dastra.eu/fr/contacts\" role=\"button\" class=\"btn btn-primary\" target=\"_blank\">Nous Contacter\u003C/a>\u003C/div>\r\n","Comment me mettre en conformité RGPD ?","Découvrez les étapes pour vous mettre en conformité RGPD ! Pour plus de renseignements, contactez-nous",2369,13,"Comment se mettre en conformité RGPD ?",0,null,"fr","comment-se-mettre-en-conformite-rgpd","Découvrez le guide pratique pour vous aider à vous mettre en conformité avec le RGPD.","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":13,"blogUrl":13,"color":13,"userId":19,"creationDate":22},10458,"Marine Boquien","https://static.dastra.eu/tenant-19/avatar/10458/logo-icon-primary-150.png","2023-10-02T14:39:10","2024-03-15T07:00:00","2024-03-07T14:41:58.5268341","2026-02-20T14:51:46.2633564",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":14,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":43},[44,45,46],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},[],"https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en-original.png",[50,51,52,53,54,55,56],"https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en-1000.webp","https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en.webp","https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en-1500.webp","https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en-800.webp","https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en-600.webp","https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en-300.webp","https://static.dastra.eu/content/792335a9-524d-4186-8c03-73e07de7dffa/comment-se-mettre-en-100.webp",56888]