Tout organisme souhaitant se mettre en conformité avec le RGPD doit commencer cette procédure par la constitution d’un registre des traitements de données à caractère personnel qu’elle effectue.

Il s’agit d’établir un recensement des différentes activités qui impliquent de collecter et de traiter des données. Un modèle de registre est mis à disposition sur le site de la CNIL.

A l’intérieur de ce registre, chacune des activités listées doit faire l’objet d’une fiche spécifique en indiquant l’objectif poursuivi par cette activité, les types de données utilisées, les catégories de destinataires ainsi que la durée de conservation des données.

Ensuite, il convient de faire en sorte que l’information des personnes concernées par le traitement soit correctement réalisée. En ce sens, un certain nombre de précisions doivent être mises à la disposition des personnes, en particulier la finalité du traitement, ce qui autorise l’organisme à effectuer ce traitement (l’obtention du consentement de la personne par exemple), les catégories de personnes qui auront accès aux données, la durée de conservation, les modalités d’exercice des droits. Dans le cas où les données ont vocation à être transférées dans un pays extérieur à l’Union européenne, l’organisme doit mentionner quel est ce pays ainsi que les dispositions juridiques qui permettent d’encadrer les données.

Dans le cas où le traitement de certaines données présente un risque pour la vie privée des personnes concernées, l’organisme a l’obligation de réaliser une analyse d’impact. Il s’agit d’un procédé destiné à évaluer les risques inhérents au traitement et à démontrer la conformité de l’organisme au RGPD. Ce faisant, l’analyse d’impact permet à cet organisme de mettre en place des traitements qui soient respectueux de la vie privée des personnes dont les données sont traitées.

En outre, le RGPD impose aux responsables de traitement d’instaurer un certain nombre de mesures pour éviter la survenance de violations de données et, le cas échéant, pour pouvoir réagir suffisamment promptement et de manière appropriée. En ce sens, il est impératif d’établir un registre des violations ayant eu lieu, de notifier ces violations à la CNIL dans un délai maximal de 72 heures après leur survenance et d’en informer les personnes concernées dans les meilleurs délais.

L’organisme devra réunir tous les éléments ci-dessus dans une documentation interne afin de pouvoir prouver sa conformité au RGPD en cas de contrôle de la CNIL.

Enfin, il conviendra de désigner un délégué à la protection des données dans certains cas, notamment lorsque le traitement est effectué par une autorité ou un organisme public (sauf juridictions), quand les opérations de traitement exigent un suivi régulier et systématique à grande échelle des personnes concernées ou quand les données traitées sont relatives à une catégorie particulière de données, à des condamnations pénales ou à des infractions.