Se conformer au RGPD
Le Règlement Général sur la Protection des Données redéfinit, au niveau européen, les règles relatives à la protection des données personnelles des citoyens.
Ce nouveau règlement européen est déjà entré en vigueur !
Mettez-vous en en conformité et évitez de lourdes sanctions en cas d’infraction ou de retard !
Il s’applique aux entreprises.
- Commerçants
- Professions libérales
ASBL
Il modifie la réglementation.
- Nouveaux droits reconnus aux consommateurs
- Nécessité d’une révision structurelle du traitement des données personnelles par les entreprises
- Adopté le 14/04/2016, il entre en vigueur le 25/05/2018.
13 étapes pour se conformer au RGPD
Conscientisation
- Informez les personnes clés et les décideurs quant aux changements à venir.
- Ils doivent évaluer les conséquences que le RGPD aura sur l’entreprise ou l’organisation.
Registre de données
- Faites l’inventaire des données à caractère personnel que vous conservez,
- notez
- quelle est leur origine et
- les personnes avec lesquelles vous les avez partagées.
- Enregistrez vos traitements.
Vous devez éventuellement organiser un audit d’information à cet effet.
Communication
- Évaluez votre déclaration de confidentialité existante et
- prévoyez les modifications nécessaires à y apporter à la lumière du RGPD.
Droits de la personne concernée
Vérifiez si les procédures actuelles dans votre entreprise ou organisation prévoient tous les droits que la personne concernée peut invoquer, y compris la manière :
- dont les données à caractère personnel peuvent être supprimées ou
- dont les données seront communiquées par voie électronique.
Demande d’accès
- Mettez à jour vos procédures d’accès existantes et
- réfléchissez à la manière dont vous traiterez désormais les demandes d’accès eu égard aux nouveaux délais du RGPD.
Fondement légal pour le traitement
- Documentez les différents types de traitements de données que vous effectuez et
- identifiez le fondement légal pour chacun d’entre eux.
Consentement
- Évaluez la manière dont vous demandez, obtenez et enregistrez le consentement et
- apportez les modifications nécessaires.
Enfants
Développez des systèmes
- qui vérifient l’âge de la personne concernée et
- qui demandent le consentement au(x) parent(s) ou au(x) tuteur(s) pour le traitement de données de mineurs.
Fuite de données
Prévoyez des procédures adéquates pour
- détecter,
- rapporter et
- analyser des fuites de données à caractère personnel.
Conception et analyse d’impact
- Familiarisez-vous avec les notions
- de protection des données dès la conception et
- d’analyse d’impact relative à la protection des données et
- examinez la manière dont vous pouvez mettre en œuvre ces concepts dans le fonctionnement de votre entreprise ou organisation.
Délégué à la protection des données
- Désignez au besoin un délégué à la protection des données ou une personne qui est responsable du respect des règles de protection des données.
- Évaluez la place que cette personne occupe au sein de la structure et de la politique de votre entreprise ou organisation.
Autorité compétente au niveau international
Si votre entreprise ou organisation est active au niveau international, déterminez de quelle autorité de contrôle vous relevez.
Contrats existants
- Évaluez vos contrats existants, principalement avec des sous-traitants, et
- apportez les changements nécessaires en temps utile.
Un audit est urgent dans presque toutes les entreprises ! Commerçants, professions libérales, ASBL, tout le monde est concerné.
Il s’agit d’une règlementation assez complexe et d’un changement de culture…
De lourdes amendes peuvent être encourues en cas d’enquête administrative ou en cas de retard à une demande d’un client.
Plus d’informations sur la protection des données à caractère personnel
Il permet aux citoyens de l’Union européenne (UE) de mieux contrôler leurs données à caractère personnel. Il modernise et uniformise également les règles permettant aux entreprises de diminuer la bureaucratie et de profiter d’une meilleure confiance du consommateur.
Le règlement général sur la protection des données (RGPD) fait partie du paquet de réformes de l’UE sur la protection des données, et de la directive sur la protection des données dans les secteurs de la police et de la justice pénale.
Le RGPD renforce les droits existants, octroie de nouveaux droits et accorde aux citoyens un meilleur contrôle sur leurs données à caractère personnel, notamment :
- un meilleur accès à leurs données — y compris en fournissant plus d’informations sur la manière dont les données sont traitées et en garantissant que ces informations sont disponibles de manière claire et compréhensible ;
- un nouveau droit à la portabilité des données — destiné à faciliter le transfert de données à caractère personnel entre prestataires de services ;
- un droit d’effacement (« droit à l’oubli ») plus clair — lorsqu’une personne ne souhaite plus que ses données soient traitées et qu’il n’existe pas de motif légitime de les conserver, les données seront effacées ;
- le droit de savoir quand ses données à caractère personnel ont été piratées — les entreprises et les organisations devront informer sans délai les personnes en cas de violation grave des données. Elles devront également en informer les autorités de contrôle de la protection des données compétentes.
Le RGPD est conçu pour créer des opportunités commerciales et encourager l’innovation grâce à différentes mesures, y compris :
- un ensemble unique de règles européennes — une législation européenne unique pour la protection des données représenterait une économie de 2,3 milliards d’euros par an ;
- un délégué à la protection des données, chargé de la protection des données, sera désigné par les autorités publiques et par les entreprises qui traitent les données à grande échelle ;
- un guichet unique — les entreprises ne doivent traiter qu’avec une seule autorité de contrôle (dans le pays de l’UE dans lequel elles sont principalement implantées);
- des règles européennes pour les entreprises non européennes — les entreprises basées en dehors de l’UE doivent appliquer les mêmes règles quand elles proposent des services ou des biens, ou suivent le comportement des personnes au sein de l’UE ;
- des règles propices à l’innovation — une garantie que les mesures de protection des données sont intégrées dans les produits et les services depuis les premières étapes du développement (protection des données dès la conception et par défaut);
- des techniques respectueuses de la vie privée telles que la pseudonymisation (lorsque les champs d’identification dans un enregistrement de données sont remplacés par un ou plusieurs identifiants factices) et le chiffrement (lorsque les données sont codées de manière telle que seules les parties autorisées peuvent les lire);
- la suppression des notifications — les nouvelles règles de protection des données supprimeront la plupart des obligations de notification et les coûts associés à ces obligations. Un des objectifs du règlement sur la protection des données consiste à supprimer les obstacles au libre flux des données à caractère personnel au sein de l’UE. Il permettra aux entreprises de se développer plus facilement ;
- des analyses d’impact — les entreprises devront effectuer des analyses d’impact lorsque le traitement des données peut engendrer un risque élevé pour les droits et libertés des personnes physiques ;
- la tenue des registres — les PME ne sont pas obligées de tenir des registres des activités de traitement, à moins que le traitement ne soit régulier ou susceptible d’engendrer un risque pour les droits et libertés de la personne dont les données sont traitées.
Cette infographie résume la situation en France, mais est globalement intéressante aussi pour la Belgique. L’autorité compétente en France est la CNIL tandis qu’en Belgique, il s’agit de la Commission de la protection de la vie privée.
Auteur de l’infographie : (cc) CLUSIF.
Actualités
L’enquête de solvabilité numérique – Journal des tribunaux
Le Journal des tribunaux #13 – L’enquête de solvabilité […]
Dossier « Vie privée et épidémie Covid-19 » éditée par l’Autorité belge de protection des données
L’Autorité belge de protection des données a édité un […]
Quelles informations un bailleur peut-il demander à un candidat-locataire en Région wallonne ? 🐓🏘🔍
Avant le décret wallon […]
Peut-on utiliser une dashcam dans son véhicule ? 🚗📸
Parfois bien utile 🚗📸 […]
Le RGPD transposé dans une loi belge indigeste…
Le RGPD comptait déjà plus de 80 pages en […]