Conformité au RGPD : la check list des points à vérifier

• Avez-vous établi une liste des sous-traitants ?
• Etes-vous en mesure de montrer que vous n’envoyez pas de données à caractère personnel à un sous-traitant ?
• Le sous-traitant est-il en mesure de vous assurer que les données ne transitent pas en dehors de l’UE ?
• Vous êtes vous assuré qu’il était au fait du RGPD ?
• Êtes-vous en mesure de connaître l’ensemble des types de données et des traitements qui sont effectués par le sous-traitant ?
• Avez-vous mis en place un processus d’évaluation et de contrôle de vos sous-traitants ?
• Avez-vous réalisé une revue de contrat pour chacun d’entre eux ?
• Tous les contrats de sous-traitants comportent-ils une clause assurant le respect des droits des personnes ?
• Tous les contrats de sous-traitants comportent-ils une clause de sécurité des données ?
• Tous les contrats de sous-traitants comportent-ils une clause de notification d’une violation de données personnelles ?
• Tous les contrats de sous-traitants comportent-ils une clause de restriction des transferts de données hors UE ?
• Tous les contrats de sous-traitants comportent-ils une clause vous permettant d’effectuer un audit ?

Contrôle associé dans la carthographie Avez-vous identifié votre fournisseur de logiciel RH, le prestataire en charge de l’hébergement ou les call-center réclamations des clients ?

• L’équipe RH a elle été sensibilisée aux problématiques RGPD ?
• L’équipe RH a elle été formée aux problématiques RGPD ?
• Les briques SIRH est-il composé de plusieurs logiciels ?
• Votre SIRH est-il récent et à jour ?
• Votre SIRH est-il chez vous ou en partie en SAS ?
• La sécurisation des dossiers est-elle vérifiée régulièrement ?
• Avez-vous une procédure d’entrée de vos employés ?
• Avez-vous une procédure de sortie de vos employés ?
• Avez-vous une charte informatique à jour (version de moins d’un ans) ?
• Êtes vous sûr de ne recueillir que les données nécessaires ?
• Pouvez-vous présenter les traitements (entrée, motif, sortie) des données à caractère privée ?
• Les données relatives à un candidat non retenu à l’embauche sont-elles détruites 2 ans après le dernier contact ?
• Les données relatives à la paie sont-elle détruites au bout de 5 ans ?
• Avez-vous des archives papier ?
• Avez-vous recueilli le droit d’usage de leurs données auprès de vos salariés ?
• Avez-vous une procédure de droit à l’image pour chaque événement ?
• Avez-vous une procédure d’accès et de rectification par les salariés de leurs données ?
• Êtes-vous en mesure d’identifier tous les endroits où sont stockées vos données RH ?
• Pensez-vous être capable de sortir l’ensemble des données d’un employé ?
• Les membres de l’équipe RH connaissent-t-elle le droit à l’oubli ?
• Accès aux données : au sein du service RH, est-ce qu’une politique RH est déjà en oeuvre ?