1. Introduction
- Objet du document : Préciser que le document est destiné à définir la politique de conformité au RGPD pour RUNWALLET
- Contexte : Solution digitale pour la gestion de cartes dématérialisées dans les smartphones
- Références légales : Mentionner le RGPD et autres législations pertinentes (lois nationales, autres règlements).
2. Description du projet
- Nature du projet :
- Finalité de la collecte des données : Préciser pourquoi des données
personnelles sont collectées et comment elles sont utilisées (ex. création de
comptes, service à la clientèle, personnalisation). - Catégories de données collectées : Liste des types de données collectées
(ex. nom, adresse email, coordonnées bancaires, etc.). - Base légale du traitement : Expliquer les fondements juridiques du
traitement des données (consentement, exécution d'un contrat, intérêt
légitime, obligation légale, etc.).
3. Responsable du traitement
- Identité et coordonnées du responsable du traitement : Nom de l’entité ou
de la personne responsable du traitement des données. - Délégué à la protection des données (DPD) : Si applicable, préciser les
informations de contact du DPD.
4. Sous-traitants et partenaires
- Sous-traitants : Mentionner les sous-traitants impliqués dans le traitement
des données et leurs responsabilités. - Partenaires externes : Lister les partenaires avec lesquels des données
peuvent être partagées (ex. prestataires de services, hébergeurs, etc.).
5. Mesures de sécurité des données
- Sécurisation des données : Décrire les mesures techniques et
organisationnelles mises en place pour protéger les données personnelles
(cryptage, anonymisation, gestion des accès, etc.). - Contrôles et audits : Indiquer les procédures de contrôle de la sécurité des
données et les audits effectués.
6. Gestion des droits des personnes concernées
- Droits des utilisateurs : Expliquer les droits des personnes concernées par
les données (droit d'accès, de rectification, d'effacement, de portabilité,
d'opposition, etc.). - Modalités d''exercice des droits : Décrire la procédure pour exercer ces
droits (contact, délais de réponse, etc.). - Délai de conservation des données : Préciser les durées de conservation
des données en fonction des finalités.
7. Transfert de données
- Transferts hors UE : Si applicable, mentionner si des données personnelles
sont transférées en dehors de l’Union Européenne, ainsi que les garanties
mises en place (clauses contractuelles types, Privacy Shield, etc.).
8. Gestion des incidents de sécurité
- Procédure de notification de violation de données : Décrire le processus à
suivre en cas de violation de données personnelles (notification à la CNIL et
aux personnes concernées dans les délais impartis). - Plan de gestion des incidents : Préciser les étapes à suivre pour gérer une
violation, y compris les actions correctives et préventives.
9. Analyse d'impact sur la protection des données (AIPD)
- Nature de l'AIPD : Si nécessaire, indiquer qu'une AIPD a été réalisée pour
évaluer les risques relatifs au traitement des données personnelles. - Résultats de l'AIPD : Décrire les résultats de l’analyse d'impact et les
mesures prises pour minimiser les risques.
10. Formation et sensibilisation
- Sensibilisation des équipes : Indiquer les formations dispensées aux
employés concernant la protection des données et le respect du RGPD. - Mesures internes : Décrire les actions de sensibilisation continues pour
garantir le respect des principes du RGPD au sein de l’organisation.
11. Mise à jour et suivi
- Révision du document : Expliquer la fréquence des révisions du document
en fonction de l'évolution du projet et des pratiques de traitement des
données. - Suivi de la conformité : Décrire les mécanismes de suivi pour assurer une
conformité continue avec le RGPD.
12. Conclusion
- Engagement de conformité : Rappeler l’engagement de l’entreprise à
respecter la réglementation sur la protection des données personnelles et à
mettre en place toutes les mesures nécessaires pour garantir leur sécurité.