#SMARTInfos: Êtes-vous préparé aux nouvelles normes du RGPD ?

RGPD : Comprendre le nouveau règlement 2018 

Le RGPD est aussi connu sous le nom de Règlement Général sur la Protection des données, il s’agit d’une législation qui s’engage dans la protection des données sur le marché européen. Ce nouveau règlement en 2018 a pour objectif de renforcer les droits des personnes en responsabilisant les acteurs qui traitent les données permettant à long terme de crédibiliser la régulation des données.

Qui est concerné par ce nouveau règlement ?

Ce règlement concerne tous les professionnels qui procèdent à des traitements de données de citoyens européens ou de personnes sur le territoire européen à condition qu’ils stockent des informations nominatives des consommateurs : noms, coordonnées, codes de carte bancaire, mails, centre d’intérêt…). Les entreprises du e-commerce et des services sur internet sont principalement concernées.

Comment se préparer à ce changement de réglementation ? 

– Désigner un pilote : Il est important de désigner le chef d’orchestre qui aura pour mission d’informer, de conseiller et de contrôler en interne la gestion des données personnelles. Il aura le rôle du délégué à la protection des donnés.

– Cartographier les traitements de données personnelles : Vous devez recenser les différents traitements de données personnelles traitées, catégoriser les données personnelles traitées, préciser l’objectif des opérations de traitement de données, identifier les acteurs qui traitent le données et indiquer l’origine des flux d’origines et de destinations des données.

– Prioriser les actions : A la suite de l’identification des traitements de données au sein de votre organisme, vous devez identifier les actions à effectuer pour vous conformer aux obligations actuelles et à venir.

Voici les points d’attentions :

● Assurez-vous que seules les données strictement nécessaires à la poursuite de vos
objectifs sont collectées et traitées.
● Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple :
consentement de la personne, intérêt légitime, contrat, obligation légale).
● Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du
règlement.
● Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs
responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les
obligations du sous-traitant en matière de sécurité, de confidentialité et de protection
des données personnelles traitées.
● Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…).
● Vérifiez les mesures de sécurité mises en place.

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

– Gérer les risques : Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données.

– Organiser les processus internes : Pour assurer un haut niveau de protection des données personnelles en permanence, il est essentiel de mettre en place une procédure interne pour garantir la protection de celles-ci à tout moment, en incluant tous les éléments qui peuvent intervenir dans le traitement des données (ex: faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).

– Documenter la conformité:

La documentation sur vos traitements de données personnelles:

● le registre des traitements (pour les responsables) ou des catégories d’activités (pour les sous-traitants) impact immédiat
chrome-extension://gbkeegbaiigmenfmjfclcdgdpimamgkj/views/app.html
● les analyses d’impact sur la protection des données (PIA ; voir étape 4) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
● l’encadrement des transferts de données hors de l’Union européenne (notamment les clauses contractuelles types ou les BCR).

L’information des personnes

● les mentions d’information,
● les modèles de recueil du consentement des personnes concernées
● les procédures mises en place pour l’exercice des droits des personnes

Les contrats qui définissent les rôles et les responsabilités des acteurs

● les contrats avec les sous-traitants
● les procédures internes en cas de violations de données
●les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

 

Share
This

Post a comment