Comment savoir si on est prêt?

Au minimum, vous devriez pouvoir répondre «oui» aux questions suivantes:

  • Est-ce qu’on a catalogué les catégories de données personnelles qu’on traite, et dans quels buts?
  • Pouvons-nous justifier le traitement de chaque catégorie de données (c’est-à-dire la base légale qui nous autorise à le faire)?
  • Pouvons-nous fournir des informations à nos utilisateurs/clients sur la façon dont nous traitons les données?
  • Est-ce que nous sommes sûrs que les données sont stockées de manière sécurisée et que les personnes non-autorisées ne peuvent pas y accéder?
  • Est-ce que nous avons des procédures pour effacer les données dont nous n’avons plus besoin?
  • Est-ce que nous savons quoi faire si un individu décide d’utiliser ses droits conformément au RGPD, comme le droit d’obtenir une copie de ses données?
  • Est-ce qu’on a cartographié le niveau et la source de tout risque lié à notre traitement des données? Est-ce qu’on a pris les mesures nécessaires pour limiter ces risques?
  • Est-ce que nous avons une procédure au cas où une personne non-autorisée aurait accès à des données personnelles?
  • Est-ce que nous avons fait en sorte que tout le monde au sein de l’entreprise/organisation connaisse les procédures appropriées pour le traitement et la sécurisation des données personnelles?
  • Est-ce que nous avons un plan pour réévaluer périodiquement nos pratiques en matière de traitement des données?