Le nouveau règlement européen mise avant tout sur la protection des données collectées des personnes concernées compte tenu des risques. En cas de plaintes ou d’incidents, cela permet à toutes les entreprises de prouver que les mesures ont été respectées lors du traitement des données ! Concrètement comment être en conformité ? Voici ce que la Cnil exige !
Plan de l'article
- La cartographie des traitements de données
- Mise en conformité rgpd : Evaluer la finalité des traitements de données à caractère personnel
- Conserver les données pendant une certaine période
- Tenir au courant ses clients et ses collaborateurs
- Une obligation de sécurité des données
- L’importance de nommer un délégué à la protection des données
- Les sanctions en cas de non-conformité avec le RGPD
La cartographie des traitements de données
Il s’agit de recenser la totalité des données à caractère personnel traitées par l’organisme. Cela permet d’avoir une vision globale du traitement, de leur provenance ainsi que de leur destination.
A lire en complément : Les avantages fiscaux pour les entreprises
Il permet de mesurer le niveau de conformité au règlement général et d’alimenter le registre des activités de traitement des données personnelles. Il faut indiquer :
- Les finalités du traitement de données à caractère personnel ;
- Les catégories de données traitées ;
- Les personnes concernées ;
- Les destinataires des données sensibles ou personnelles ;
- Les mesures de sécurité pour la protection des données personnelles.
A lire aussi : Arrêt maladie d'un jour sans justificatif : les droits des apprentis
Mise en conformité rgpd : Evaluer la finalité des traitements de données à caractère personnel
C’est une obligation essentielle pour la mise en conformité rgpd. La finalité d’un traitement en fixe la limite. Ainsi pour une prospection commerciale, les données ne peuvent pas être utilisées par le responsable du traitement afin de recueillir des avis sur le produit ou le service. Si tel est le cas il faut en informer les personnes concernées ou créer un nouveau traitement.
La durée de conservation, dépend aussi entièrement de cette finalité. Il est prohibé par le nouveau règlement de garder des données personnelles plus longtemps si la finalité est déclarée.
Conserver les données pendant une certaine période
Que ce soit la loi informatique et libertés ou le règlement européen, ces deux textes somment de réduire la conservation des données personnelles. On recense 3 sortes d’archivage des données :
L’archivage classique
Il renvoie à l’obligation de conserver les données au regard de la finalité du traitement. C’est une durée pouvant être fixée à la suite d’un contrat entre la personne concernée et le responsable du traitement.
L’archivage intermédiaire
Il renvoie à la situation où les données peuvent être gardées plus longtemps que la durée prévue à la base.
L’archivage définitif
Certaines données ne peuvent pas être détruites. C’est le cas par exemple des informations d’intérêt public comme les statistiques ou les faits scientifiques.
Tenir au courant ses clients et ses collaborateurs
Chaque personne dont les données sont traitées, a le droit d’avoir du responsable des traitements des informations obligatoires, sous respect des droits des personnes :
- Droit d’accès ;
- Droit à l’oubli, à l’effacement ou à la rectification ;
- Droit à la portabilité ou droit au transfert…
Dans une relation de travail, l’employeur est considéré comme un responsable du traitement. Il est tenu de traiter certaines données comme la paye ou les diverses évaluations.
Une obligation de sécurité des données
Il incombe au responsable de traitement d’assurer la sécurité des données personnelles, non seulement pour se conformer au RGPD mais aussi pour se protéger des risques et de la violation des données. C’est une obligation incombant aussi au sous-traitant.
Pour s’en garantir, une autre clause peut être introduite dans le contrat de sous-traitant en indiquant les obligations en termes de sécurité.
La CNIL conseille d’une part de mettre en avant des dispositifs de traçabilité des données et de garantir un mode de conservation selon l’archivage. Dans le cas de l’archivage définitif, il est nécessaire de le mettre dans une base distincte et autonome et d’en autoriser l’accès qu’à un service précis de l’entreprise. Pour l’archivage intermédiaire, le responsable de traitement peut sélectionner le mode qu’il souhaite mais à condition d’avoir pris les mesures nécessaires pour protéger les données.
L’importance de nommer un délégué à la protection des données
Afin de garantir une sécurité optimale des données personnelles, il faut instaurer un délégué à la protection des données (DPO). Cette personne sera chargée de veiller au respect du RGPD ainsi qu’à toutes les normes inhérentes aux traitements de données.
Le délégué à la protection des données a plusieurs missions. Il doit informer et sensibiliser le personnel en matière de conformité RGPD. Il doit aussi contrôler l’application du règlement européen sur la protection des données au sein de l’entreprise ou de l’organisation, vérifier si elle est conforme aux exigences légales en termes de traitement et de gestion sécurisée des données personnelles.
En cas de violation potentielle ou avérée, le DPO devra tenir informées les personnes concernées dans les meilleurs délais possibles. Ce responsable peut être contacté par tout individu pour poser toute question relative aux activités effectuées dans le traitement des données collectées par ladite entreprise ou organisation.
La désignation du DPO n’est obligatoire que s’il y a un traitement régulier à grande échelle de catégories spéciales de données, telles que celles liées à l’état civil et familial, celles liées à la santé, celles relatives aux opinions politiques, celles relatives aux convictions religieuses ou philosophiques, celle relative à l’appartenance syndicale, celle touchant l’orientation sexuelle, l’identité sexuelle ou la dénomination choisie.
Si l’entreprise n’est pas obligée de désigner un DPO, il faut garantir une parfaite sécurité des données confidentielles et personnelles collectées.
Le délégué à la protection des données doit être indépendant dans ses missions pour éviter tout conflit d’intérêts ou pression interne en vue de cacher certaines violations. Il peut être issu du personnel existant ou avoir été recruté spécialement pour ce poste précis.
Les sanctions en cas de non-conformité avec le RGPD
Le RGPD prévoit des sanctions sévères en cas de non-respect du règlement. Les montants des amendes encourues peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou une somme pouvant aller jusqu’à 20 millions d’euros, selon le montant le plus élevé. Il faut bien souligner que ces sanctions ne touchent pas seulement les entreprises elles-mêmes, mais aussi tous les sous-traitants qui travaillent avec ces dernières. Les sous-traitants ont eux aussi l’obligation stricte de respecter toutes les prescriptions relatives à la protection des données incluses dans leurs contrats et accords signés avec les entreprises clientes. Pour éviter tout risque sanitaire majeur lié à ces activités, il est capital pour les entreprises de bien adopter une stratégie globale cohérente en matière de protection des données personnelles, qui leur permette non seulement d’être sûres que leurs pratiques sont conformes juridiquement, mais aussi d’éviter tout risque.