5. Les règles d'or de la mise en oeuvre

Ces deux procédures concernent les traitements déjà mis en œuvre mais non conformes car non déclarés, ainsi que les traitements de données à venir.

Traitements non déclarés au préalable, et mis en œuvre :

• 1. Évaluer les besoins : recenser TOUS les traitements de données présents dans la structure (pré-audit).
• 2. Choisir une solution adaptée à votre budget :
  - Faire les déclarations et demandes d’autorisations en interne ;
  - Faire appel à un prestataire externe ;
  - Nommer un CIL interne ou externe (dans le cas de nombreuses déclarations).
• 3. Procéder à l’audit : cet audit doit être le plus complet possible, pour permettre de catégoriser les traitements et éviter les redondances.
• 4. Procéder aux déclarations et/ou demandes d’autorisation.
• 5. Informer les personnes des caractéristiques des traitements de leurs données et de leurs droits.
• 6. Procéder régulièrement aux mises à jour.

Traitements non mis en œuvre :

• 1. Déterminer les finalités et les moyens affectés au traitement.
• 2. Déclarer le traitement ou effectuer la demande d’autorisation auprès de la CNIL.
• 3. Informer les personnes des caractéristiques des traitements de leurs données et de leurs droits.
• 4. Mettre en œuvre le traitement.
• 5. Procéder régulièrement aux mises à jour.