On recruteRejoignez BoldAvocats, juristes & experts-comptables — toutes nos offres sont sur Welcome to the Jungle.Voir les offres
L'équipeIls parlent de nous
Accueil
/
Bold Académy
/
10 étapes pour te mettre en conformité RGPD
Te mettre en conformité RGPD

10 étapes pour te mettre en conformité RGPD

Data
Essentiel
8:40
2021
La mise en conformité RGPD en 10 étapes : cartographier les données, encadrer les données sensibles, minimiser, définir un fondement légal, fixer les durées, gérer les accès, sécuriser… et tout documenter.
B
Héloïse
Données personnelles & RGPD
8:40
G5Jq__mf9qM
Vidéo hébergée sur YouTube

La méthode en bref

En une phrase : La mise en conformité RGPD en 10 étapes : cartographier les données, encadrer les données sensibles, minimiser, définir un fondement légal, fixer les durées, gérer les accès, sécuriser… et tout documenter.

La mise en conformité RGPD peut sembler difficile d'approche, mais ce sont toujours les mêmes étapes qu'il suffit d'appliquer et de bien documenter. Dans cet épisode de la Bold Académy, Héloïse décompose la démarche en 10 étapes simples.

1. Cartographier les données collectées : liste toutes les données personnelles (identifiant directement ou indirectement une personne), y compris les moins évidentes comme l'adresse IP ; identifie la population concernée (enfants, salariés, personnes vulnérables) et le support (papier comme numérique). 2. Identifier les données sensibles (santé, opinions politiques, appartenance syndicale, origine, religion) : leur traitement est interdit sauf consentement explicite. 3. Minimisation : ne collecte que les données utiles à ton objectif (pas de géolocalisation si ton service n'en dépend pas).

4. Fondement légal pour chaque traitement (fichier) : intérêt légitime, consentement ou contrat — avec des conséquences pratiques (le consentement impose techniquement une case à cocher). 5. Durée de conservation alignée sur l'objectif (pas de conservation indéfinie ; suppression ou anonymisation à l'échéance). 6. Accès et transmissions : en interne, des profils d'habilitation (tout le monde n'a pas besoin de tout) ; en externe, des outils et partenaires eux-mêmes conformes, et des garde-fous pour les transferts hors UE (privilégier la zone et les outils européens).

Les points clés à retenir

Voici les idées à garder en tête après la vidéo. Elles servent de checklist rapide pour passer du concept à l'action.

Étape 1 — Cartographier toutes les données

Étape 1 — Cartographier toutes les données personnelles collectées (types évidents et moins évidents comme l'IP, population concernée, support papier ou numérique).

Étapes 2-3 — Encadrer les données sensibles

Étapes 2-3 — Encadrer les données sensibles (santé, opinions… : traitement interdit sauf consentement explicite) et appliquer la minimisation (ne collecter que le nécessaire).

Étape 4 — Donner un fondement légal

Étape 4 — Donner un fondement légal à chaque traitement (intérêt légitime, consentement, contrat), avec ses conséquences techniques (ex. case à cocher).

Étape 5 — Fixer une durée de

Étape 5 — Fixer une durée de conservation alignée sur l'objectif, avec suppression ou anonymisation à l'échéance.

Étape 6 — Gérer les accès (profils

Étape 6 — Gérer les accès (profils d'habilitation en interne ; outils et partenaires conformes ; garde-fous pour les transferts hors UE, privilégier des outils européens).

Étapes 7-8 — Rédiger la politique de

Étapes 7-8 — Rédiger la politique de confidentialité et organiser le respect des droits des personnes (réponse sous 1 mois, adresse dédiée type rgpd@).

Quand l'appliquer dans ta startup ?

À reprendre dès que tu collectes, stockes, transmets ou exploites des données personnelles.

L'objectif n'est pas de tout complexifier, mais de repérer les bons réflexes : ce qu'il faut décider, ce qu'il faut documenter, et ce qu'il vaut mieux faire valider avant que le sujet ne bloque ton projet.

Pour aller plus loin

Cette vidéo fait partie de la Bold Academy. Les vidéos liées, les articles, les modèles de la contrathèque et les expertises associées te permettent de continuer le parcours sans repartir de zéro.

À retenir : 10 étapes pour te mettre en conformité RGPD doit t'aider à prendre une meilleure décision juridique, plus vite, avec une vision claire des risques et des prochaines étapes.

À retenir
  • Étape 1 — Cartographier toutes les données personnelles collectées (types évidents et moins évidents comme l'IP, population concernée, support papier ou numérique).
  • Étapes 2-3 — Encadrer les données sensibles (santé, opinions… : traitement interdit sauf consentement explicite) et appliquer la minimisation (ne collecter que le nécessaire).
  • Étape 4 — Donner un fondement légal à chaque traitement (intérêt légitime, consentement, contrat), avec ses conséquences techniques (ex. case à cocher).
  • Étape 5 — Fixer une durée de conservation alignée sur l'objectif, avec suppression ou anonymisation à l'échéance.
  • Étape 6 — Gérer les accès (profils d'habilitation en interne ; outils et partenaires conformes ; garde-fous pour les transferts hors UE, privilégier des outils européens).
  • Étapes 7-8 — Rédiger la politique de confidentialité et organiser le respect des droits des personnes (réponse sous 1 mois, adresse dédiée type rgpd@).
  • Étapes 9-10 — Désigner un point de contact ou un DPO, et sécuriser les traitements (habilitations, mots de passe, hébergeur certifié) avec un process en cas de violation.
  • À la fin, documente tout dans le registre de traitement — le document à fournir à la CNIL en cas de contrôle.
Transcription+

Bonjour à tous, bienvenue sur la Bold Académy ! La mise en conformité RGPD (le Règlement européen sur la protection des données) peut paraître difficile d'approche. En réalité, ce sont toujours les mêmes étapes à appliquer et à bien documenter. Je te présente les 10 étapes de la mise en conformité.

Étape 1 — Cartographier les données collectées. Première question : quelles données personnelles collectes-tu, c'est-à-dire celles qui identifient, directement ou indirectement, des personnes physiques ? Cartographie et liste-les. Certaines sont évidentes (noms, prénoms, emails), d'autres beaucoup moins (l'adresse IP). Demande-toi qui est concerné (enfants, salariés, personnes vulnérables) et sur quel support tu les récupères : tout n'est pas numérique, tu peux aussi en collecter sur papier.

Étape 2 — Identifier et encadrer les données sensibles. Certaines données sont dites sensibles : état de santé, opinions politiques, appartenance syndicale, origine raciale, opinions religieuses. En principe, tu n'es pas autorisé à les traiter, sauf consentement explicite des personnes. C'est logique : une application recensant des personnes atteintes du VIH ne met pas en place les mêmes mesures de sécurité qu'une simple prise de rendez-vous.

Étape 3 — Le principe de minimisation. Une fois que tu sais quelles données tu collectes, définis l'objectif : tu ne dois collecter que les données nécessaires à cet objectif précis. Si ton service ne repose pas sur la géolocalisation, tu n'as pas besoin de la position de tes utilisateurs.

Étape 4 — Un fondement légal pour chaque traitement. En entreprise, la collecte prend la forme de fichiers (clients, leads, salariés) ; en RGPD, on les appelle des traitements. Chaque traitement doit reposer sur un fondement prévu par le RGPD : intérêt légitime, consentement, contrat. Ce choix a des conséquences pratiques : si le fondement est le consentement, tu dois techniquement en prévoir le recueil (la fameuse case à cocher).

Étape 5 — Une durée de conservation. Combien de temps gardes-tu ces données ? La durée doit être alignée sur l'objectif : on ne conserve pas indéfiniment. As-tu vraiment besoin de garder plus de 3 ans les données de leads jamais recontactés ? La valeur des données diminue avec le temps ; à l'échéance, mets en place des mécanismes de suppression ou d'anonymisation.

Étape 6 — Gérer les accès et la transmission. À qui transmets-tu ces données ? En interne, tout le monde n'a pas besoin de tout : restreins les accès via des profils d'habilitation. En externe, il s'agit de tes outils (hébergeur, CRM, emailing) ou partenaires : assure-toi qu'ils sont eux-mêmes conformes, et informe les utilisateurs (avec consentement si nécessaire) en cas de transmission à des partenaires. Attention aux transferts hors UE : mets en place des garde-fous ; si tu utilises un hébergeur américain, sélectionne la zone Union européenne, et privilégie au maximum des outils européens.

Étape 7 — Rédiger la politique de confidentialité. Toute cette cartographie sert à délivrer la bonne information aux personnes concernées, via le document d'information obligatoire qu'est la politique de confidentialité (on a fait une vidéo dédiée pour t'aider à la rédiger).

Étape 8 — Respecter et organiser le droit des personnes. Les utilisateurs ont des droits (suppression, modification, accès aux données ou aux emails les concernant). Quand tu reçois une demande, tu as 1 mois maximum pour répondre. À défaut, les personnes peuvent saisir la CNIL : prévois un processus interne écrit et une adresse email dédiée (ex. rgpd@societe.com).

Étape 9 — Désigner un point de contact ou un DPO. Identifie une personne ou un service dédié aux données personnelles, chargé de répondre aux utilisateurs et de gérer les contrôles de la CNIL. Dans certains cas spécifiques, tu as l'obligation légale de déclarer officiellement un DPO (Délégué à la protection des données) à la CNIL.

Étape 10 — Sécuriser les traitements et gérer les violations. Mets en place des mesures physiques et informatiques contre les accès non autorisés, la perte ou l'altération des données : journalisation des accès, systèmes d'habilitation, mots de passe forts, hébergeur certifié — proportionnés à la sensibilité des données. En cas de violation (piratage, fuite), aie un processus pour notifier la CNIL et, si le risque pour la vie privée est grave, avertir les personnes concernées.

À chaque étape, documente bien ton travail de réflexion. La compilation prend la forme d'un document obligatoire, le registre de traitement : c'est précisément ce que tu devras transmettre à la CNIL en cas de contrôle. Merci d'avoir regardé ! Abonne-toi, laisse un commentaire, ou réserve une session de mentoring gratuite avec l'équipe de Bold. À très bientôt !

Pour aller plus loin
Ressources liées
Les vidéos, c'est bien.
Un avocat, c'est mieux.
Tu as un projet ou une question juridique précise ? Échange avec un avocat Bold.
#244C5A