Y a-t-il une façon officielle d’implémenter le RGPD?

Compte tenu de la variété d’acteurs qui intervient quand une entreprise ou organisation traite des données personnelles, le RGPD n’est pas une liste universelle de mesures.

De manière générale, le RGPD offre aux individus (ou «personnes concernées») certains droits, et vous devez faire en sorte d’être capable de respecter ces droits. Au minimum, vous devez connaître les tenants et les aboutissants des données que vous traitez et comment vous les traitez, ainsi que les risques que ce traitement pose pour les personnes concernées. Plus le risque est élevé, plus vous aurez à faire pour protéger les données; si vous stockez des données personnelles sensibles (liées à la santé, à la sexualité, etc.) ou des détails de paiement, vous aurez une plus grande responsabilité que si vous traitez des pointures de chaussures.

Pour être sûr.e. que votre entreprise/organisation est en règle avec le RGPD, vous devriez commencer par évaluer vos pratiques et procédures actuelles (en cartographiant les flux de données), et en les adaptant si besoin pour répondre aux exigences du RGPD. Documentez vos raisonnements et actions; et continuez à surveiller et revoir périodiquement vos pratiques.