La Commission nationale de l`informatique et des libertés (CNIL), l`autorité de protection des données de Français, a publié un guide en six étapes pour aider les entreprises à prioriser et à se préparer au règlement général sur la protection des données (RGPD) de l`UE. Le RGPD, bien sûr, sera appliqué à partir du 25 mai 2018, et des entreprises de toutes tailles à travers le monde se préparent maintenant. Les six étapes de la CNIL sont soulignées ci-dessous pour la deuxième étape, il est recommandé aux organisations d`identifier, en détail, leurs activités de traitement des données. Ils peuvent le faire en préparant et en maintenant un registre des activités de traitement des données. La méthodologie de la CNIL note que, dans le cadre du RGPD, les organisations devront conserver la documentation interne complète de leurs activités de traitement des données. La méthodologie de la CNIL propose un registre des modèles. Après avoir préparé le registre dans la deuxième étape, la méthodologie de la CNIL recommande d`identifier, pour chaque activité de traitement des données, les actions qui devront être mises en œuvre pour se conformer aux obligations actuelles et futures en matière de protection des données. Cette hiérarchisation doit être effectuée, en tenant compte des risques pour les droits et libertés des personnes concernées. Si, au cours de l`étape précédente, les organisations ont identifié des activités de traitement des données susceptibles de présenter des risques élevés pour les droits et libertés des personnes concernées, elles devront effectuer une évaluation de l`impact sur la vie privée («PIA») pour chacune de ces activités de traitement des données. La méthodologie de la CNIL fait référence aux 2015 guides PIA de la CNIL en tant qu`outil de réalisation des PIAs dans le cadre du RGPD.

La CNIL (Français autorité de protection des données) a publié un modèle pour les registres que les contrôleurs de données et les transformateurs sont tenus de conserver en vertu du règlement général sur la protection des données (RGPD). Les contrôleurs de données et les processeurs devront conserver un registre de leurs activités de traitement des données lorsque le RGPD entrera en vigueur en mai 2018, et le modèle de la CNIL fournit un formulaire que les contrôleurs et les processeurs peuvent utiliser à cette fin. La méthodologie de la CNIL insiste d`abord sur la nécessité pour les organisations de nommer un chef de file pour piloter la gouvernance de la protection des données au sein de leur structure. Cette personne effectue en interne des tâches informationnelles, consultatives et de contrôle. Dans l`attente de l`application du RGPD en 2018, la CNIL suggère que les organisations peuvent nommer un Français DPD (correspondant informatique et libertés) maintenant. Cela leur permettra d`être un pas en avant et mieux organisés pour se conformer au RGPD à venir. La CNIL recommande vivement de nommer un DPD (avec des relais internes) qui sera chargé d`assurer la conformité au RGPD, même si l`organisation n`est pas tenue de nommer un DPD dans le cadre du RGPD. Un service de notification en ligne sera disponible sur le site Web de la CNIL en mai 2018. Dans l`attente de ce service, les organisations peuvent consulter, à titre d`exemple, le formulaire de notification de violation des données Français utilisé par les fournisseurs de télécommunications pour notifier leurs violations. La CNIL adaptera et complète les outils ci-dessus lorsque les directives pertinentes du RGPD seront publiées par le groupe de travail de l`article 29. Pour la dernière étape, les organisations doivent compiler et regrouper toutes les documentations nécessaires ensemble.