2. Mise en place des procédures CNIL

Auditer au préalable

Un audit préalable de la structure et des traitements de données doit être envisagé avant toute mise en action des procédures de déclaration ou d’autorisation. Celui-ci permettra tout d’abord de catégoriser les traitements (déclarations normales, conformité à une norme simplifiée, autorisations, dispenses). Il faudra ensuite définir la qualité des données recueillies : données« sans risque » ou données « sensibles » (origine raciale, données génétique sou de santé, appartenance religieuse, infractions, numéro de sécurité sociale….). Vous devrez définir la durée de conservation des données traitées (une durée « raisonnable doit être envisagée au-delà des obligations légales).

Il faudra enfin savoir si des données sont retransmises vers des pays ne disposant pas d’une protection suffisante.

Effectuer les formalités

Une fois l’audit effectué, il vous faudra procéder aux formalités d’usage. Celles-ci peuvent se faire en ligne sur le site de la CNIL (conformité à une norme simplifiée, déclaration normale), d’autres nécessitent le téléchargement d’un formulaire spécifique à adresser à la CNIL (demandes d’autorisations, par exemple).

Une fois ces formalités accomplies, et après avoir informé les personnes de leurs droits, le responsable des traitements peut mettre ceux-ci en œuvre. Il est impératif de garder toujours à l’esprit que les traitements de données ne concernent pas uniquement les sites web, mais également toute l’activité interne de l’entreprise.