La check-list « informatique et liberté »

Questions sur le RGPD
  1. Le projet informatique constitue-t-il bien un traitement de données à caractère personnel soumis à la loi « informatique et libertés » ?
  2. Suis-je bien responsable de traitement (ou le DPD)  au sens de la loi « Informatique et libertés » ?

  3. Le droit français s’applique-t-il bien au traitement ?

  4. Une politique de documentation de la conformité est-elle mise en oeuvre ?

    1. Si oui, dans quelles conditions exactes :

      1. Registre des traitements

      2. Privacy by design
      3. Procédures internes
      4. Clausiers
      5. PIA
      6. Audit
      7. Formation du personnel
  5. La collecte des données du traitement est-elle licite et loyale ?

  6. Le principe de proportionnalité est-il bien respecté (au regard de la finalité du traitement et des catégories de données collectées) ?

  7. Une durée de conservation a-t-elle été définie ?

  8. Des modalités d’archivage des données ont-elles été définies ?

  9. Une politique de sécurité et de confidentialité des données est-elle définie ?

  10. Des données sensibles, d’infractions ou relatives au NIR sont-elles collectées ?

    1. Si oui, les règles spécifiques applicables sont-elles bien respectées ?

  11. Y-a-t-il des transferts de données en dehors de l’Union européenne ?

    1. Si oui, ceux-ci font-ils l’objet d’un encadrement juridique ?

  12. Des procédures sont-elles définies afin de respecter les droits des personnes fichées (information, accès, rectification, opposition et consentement exprès dans certains cas particuliers) ?

  13. Des études d’impact doivent-elles être rédigées concernant certains traitements ?

    1. Si oui, ces études d’impact doivent-elles être communiquées à la CNIL ?

  14. Est-il nécessaire de désigner un délégué à la protection des données ?