Se conformer au RGPD 🇪🇺

Accueil/Actualités, Droit, Utile, Services, Entreprises/Se conformer au RGPD 🇪🇺

Se conformer au RGPD 🇪🇺

Se conformer au RGPD

Le Règlement Général sur la Protection des Données redéfinit, au niveau européen, les règles relatives à la protection des données personnelles des citoyens.

Ce nou­veau règle­ment européen est déjà entré en vigueur !

Met­tez-vous en en con­for­mité et évitez de lour­des sanc­tions en cas d’in­frac­tion ou de retard !

Geoffrey DELIÉGEGeof­frey DELIÉGE

Il s’applique aux entreprises.

  • Com­merçants
  • Pro­fes­sions libérales
  • ASBL

Il modifie la réglementation.

  • Nou­veaux droits recon­nus aux consommateurs
  • Néces­sité d’une révi­sion struc­turelle du traite­ment des don­nées per­son­nelles par les entreprises
  • Adop­té le 14/04/2016, il entre en vigueur le 25/05/2018.

13 étapes pour se conformer au RGPD

Conscientisation

  • Informez les per­son­nes clés et les décideurs quant aux change­ments à venir.
  • Ils doivent éval­uer les con­séquences que le RGPD aura sur l’entreprise ou l’organisation.

Registre de données

  • Faites l’inventaire des don­nées à car­ac­tère per­son­nel que vous conservez,
  • notez
    • quelle est leur orig­ine et
    • les per­son­nes avec lesquelles vous les avez partagées.
  • Enreg­istrez vos traitements.

Vous devez éventuelle­ment organ­is­er un audit d’information à cet effet.

Communication

  • Éval­uez votre déc­la­ra­tion de con­fi­den­tial­ité exis­tante et
  • prévoyez les mod­i­fi­ca­tions néces­saires à y apporter à la lumière du RGPD.

Droits de la personne concernée

Véri­fiez si les procé­dures actuelles dans votre entre­prise ou organ­i­sa­tion prévoient tous les droits que la per­son­ne con­cernée peut invo­quer, y com­pris la manière :

  • dont les don­nées à car­ac­tère per­son­nel peu­vent être sup­primées ou
  • dont les don­nées seront com­mu­niquées par voie électronique.

Demande d’accès

  • Met­tez à jour vos procé­dures d’accès exis­tantes et
  • réfléchissez à la manière dont vous traiterez désor­mais les deman­des d’accès eu égard aux nou­veaux délais du RGPD.

Fondement légal pour le traitement

  • Doc­u­mentez les dif­férents types de traite­ments de don­nées que vous effectuez et
  • iden­ti­fiez le fonde­ment légal pour cha­cun d’entre eux.

Consentement

  • Éval­uez la manière dont vous deman­dez, obtenez et enreg­istrez le con­sen­te­ment et
  • apportez les mod­i­fi­ca­tions nécessaires.

Enfants

Développez des systèmes

  • qui véri­fient l’âge de la per­son­ne con­cernée et
  • qui deman­dent le con­sen­te­ment au(x) parent(s) ou au(x) tuteur(s) pour le traite­ment de don­nées de mineurs.

Fuite de données

Prévoyez des procé­dures adéquates pour

  • détecter,
  • rap­porter et
  • analyser des fuites de don­nées à car­ac­tère personnel.

Conception et analyse d’impact

  • Famil­iarisez-vous avec les notions 
    • de pro­tec­tion des don­nées dès la con­cep­tion et
    • d’analyse d’impact rel­a­tive à la pro­tec­tion des don­nées et
  • exam­inez la manière dont vous pou­vez met­tre en œuvre ces con­cepts dans le fonc­tion­nement de votre entre­prise ou organisation.

Délégué à la protection des données

  • Désignez au besoin un délégué à la pro­tec­tion des don­nées ou une per­son­ne qui est respon­s­able du respect des règles de pro­tec­tion des données.
  • Éval­uez la place que cette per­son­ne occupe au sein de la struc­ture et de la poli­tique de votre entre­prise ou organisation.

Autorité compétente au niveau international

Si votre entre­prise ou organ­i­sa­tion est active au niveau inter­na­tion­al, déter­minez de quelle autorité de con­trôle vous relevez.

Contrats existants

  • Éval­uez vos con­trats exis­tants, prin­ci­pale­ment avec des sous-trai­tants, et
  • apportez les change­ments néces­saires en temps utile.

Besoin d’aide pour vous met­tre en conformité ?

Un audit est urgent dans presque toutes les entreprises ! Commerçants, professions libérales, ASBL, tout le monde est concerné.

Il s’agit d’une règle­men­ta­tion assez com­plexe et d’un change­ment de culture…

De lour­des amendes peu­vent être encou­rues en cas d’enquête admin­is­tra­tive ou en cas de retard à une demande d’un client.

Plus d’informations sur la protection des données à caractère personnel

Il per­met aux citoyens de l’Union européenne (UE) de mieux con­trôler leurs don­nées à car­ac­tère per­son­nel. Il mod­ernise et uni­formise égale­ment les règles per­me­t­tant aux entre­pris­es de dimin­uer la bureau­cratie et de prof­iter d’une meilleure con­fi­ance du consommateur.

Le règle­ment général sur la pro­tec­tion des don­nées (RGPD) fait par­tie du paquet de réformes de l’UE sur la pro­tec­tion des don­nées, et de la direc­tive sur la pro­tec­tion des don­nées dans les secteurs de la police et de la jus­tice pénale.

Le RGPD ren­force les droits exis­tants, octroie de nou­veaux droits et accorde aux citoyens un meilleur con­trôle sur leurs don­nées à car­ac­tère per­son­nel, notamment:

  • un meilleur accès à leurs don­nées — y com­pris en four­nissant plus d’in­for­ma­tions sur la manière dont les don­nées sont traitées et en garan­tis­sant que ces infor­ma­tions sont disponibles de manière claire et compréhensible;
  • un nou­veau droit à la porta­bil­ité des don­nées — des­tiné à faciliter le trans­fert de don­nées à car­ac­tère per­son­nel entre prestataires de services;
  • un droit d’effacement («droit à l’oubli») plus clair — lorsqu’une per­son­ne ne souhaite plus que ses don­nées soient traitées et qu’il n’existe pas de motif légitime de les con­serv­er, les don­nées seront effacées;
  • le droit de savoir quand ses don­nées à car­ac­tère per­son­nel ont été piratées — les entre­pris­es et les organ­i­sa­tions devront informer sans délai les per­son­nes en cas de vio­la­tion grave des don­nées. Elles devront égale­ment en informer les autorités de con­trôle de la pro­tec­tion des don­nées compétentes.

Le RGPD est conçu pour créer des oppor­tu­nités com­mer­ciales et encour­ager l’innovation grâce à dif­férentes mesures, y compris:

  • un ensem­ble unique de règles européennes — une lég­is­la­tion européenne unique pour la pro­tec­tion des don­nées représen­terait une économie de 2,3 mil­liards d’euros par an;
  • un délégué à la pro­tec­tion des don­nées, chargé de la pro­tec­tion des don­nées, sera désigné par les autorités publiques et par les entre­pris­es qui trait­ent les don­nées à grande échelle;
  • un guichet unique — les entre­pris­es ne doivent traiter qu’avec une seule autorité de con­trôle (dans le pays de l’UE dans lequel elles sont prin­ci­pale­ment implantées);
  • des règles européennes pour les entre­pris­es non européennes — les entre­pris­es basées en dehors de l’UE doivent appli­quer les mêmes règles quand elles pro­posent des ser­vices ou des biens, ou suiv­ent le com­porte­ment des per­son­nes au sein de l’UE;
  • des règles prop­ices à l’innovation — une garantie que les mesures de pro­tec­tion des don­nées sont inté­grées dans les pro­duits et les ser­vices depuis les pre­mières étapes du développe­ment (pro­tec­tion des don­nées dès la con­cep­tion et par défaut);
  • des tech­niques respectueuses de la vie privée telles que la pseu­do­nymi­sa­tion (lorsque les champs d’identification dans un enreg­istrement de don­nées sont rem­placés par un ou plusieurs iden­ti­fi­ants fac­tices) et le chiffre­ment (lorsque les don­nées sont codées de manière telle que seules les par­ties autorisées peu­vent les lire);
  • la sup­pres­sion des noti­fi­ca­tions — les nou­velles règles de pro­tec­tion des don­nées sup­primeront la plu­part des oblig­a­tions de noti­fi­ca­tion et les coûts asso­ciés à ces oblig­a­tions. Un des objec­tifs du règle­ment sur la pro­tec­tion des don­nées con­siste à sup­primer les obsta­cles au libre flux des don­nées à car­ac­tère per­son­nel au sein de l’UE. Il per­me­t­tra aux entre­pris­es de se dévelop­per plus facilement;
  • des analy­ses d’impact — les entre­pris­es devront effectuer des analy­ses d’impact lorsque le traite­ment des don­nées peut engen­dr­er un risque élevé pour les droits et lib­ertés des per­son­nes physiques;
  • la tenue des reg­istres — les PME ne sont pas oblig­ées de tenir des reg­istres des activ­ités de traite­ment, à moins que le traite­ment ne soit réguli­er ou sus­cep­ti­ble d’engendrer un risque pour les droits et lib­ertés de la per­son­ne dont les don­nées sont traitées.

Cette info­gra­phie résume la sit­u­a­tion en France, mais est glob­ale­ment intéres­sante aus­si pour la Bel­gique. L’au­torité com­pé­tente en France est la CNIL tan­dis qu’en Bel­gique, il s’ag­it de la Com­mis­sion de la pro­tec­tion de la vie privée.

Auteur de l’in­fo­gra­phie : (cc) CLUSIF.

Actualités

La Cour de justice de l’Union européenne invalide l’accès du public au registre des bénéficiaires effectifs (UBO).

La Cour de jus­tice de l’Union européenne (Grande chambre) […]

L’administrateur d’une page Facebook doit être considéré comme responsable conjointement avec Facebook du traitement des données personnelles des visiteurs

La Cour de jus­tice de l’Union européenne a jugé […]

2021-11-24T11:03:35+01:00
Aller en haut