Se conformer au RGPD 🇪🇺

Accueil/Actualités, Droit, Utile, Services, Entreprises/Se conformer au RGPD 🇪🇺

Se conformer au RGPD 🇪🇺

Se conformer au RGPD

Le Règlement Général sur la Protection des Données redéfinit, au niveau européen, les règles relatives à la protection des données personnelles des citoyens.

Ce nou­veau règle­ment euro­péen est déjà entré en vigueur !

Met­tez-vous en en confor­mi­té et évi­tez de lourdes sanc­tions en cas d’in­frac­tion ou de retard !

Geoffrey DELIÉGEGeof­frey DELIÉGE

Il s’applique aux entreprises.

  • Com­mer­çants
  • Pro­fes­sions libérales
  • ASBL

Il modifie la réglementation.

  • Nou­veaux droits recon­nus aux consommateurs
  • Néces­si­té d’une révi­sion struc­tu­relle du trai­te­ment des don­nées per­son­nelles par les entreprises
  • Adop­té le 14/04/2016, il entre en vigueur le 25/05/2018.

13 étapes pour se conformer au RGPD

Conscientisation

  • Infor­mez les per­sonnes clés et les déci­deurs quant aux chan­ge­ments à venir.
  • Ils doivent éva­luer les consé­quences que le RGPD aura sur l’entreprise ou l’organisation.

Registre de données

  • Faites l’inventaire des don­nées à carac­tère per­son­nel que vous conservez,
  • notez
    • quelle est leur ori­gine et
    • les per­sonnes avec les­quelles vous les avez partagées.
  • Enre­gis­trez vos traitements.

Vous devez éven­tuel­le­ment orga­ni­ser un audit d’information à cet effet.

Communication

  • Éva­luez votre décla­ra­tion de confi­den­tia­li­té exis­tante et
  • pré­voyez les modi­fi­ca­tions néces­saires à y appor­ter à la lumière du RGPD.

Droits de la personne concernée

Véri­fiez si les pro­cé­dures actuelles dans votre entre­prise ou orga­ni­sa­tion pré­voient tous les droits que la per­sonne concer­née peut invo­quer, y com­pris la manière :

  • dont les don­nées à carac­tère per­son­nel peuvent être sup­pri­mées ou
  • dont les don­nées seront com­mu­ni­quées par voie électronique.

Demande d’accès

  • Met­tez à jour vos pro­cé­dures d’accès exis­tantes et
  • réflé­chis­sez à la manière dont vous trai­te­rez désor­mais les demandes d’accès eu égard aux nou­veaux délais du RGPD.

Fondement légal pour le traitement

  • Docu­men­tez les dif­fé­rents types de trai­te­ments de don­nées que vous effec­tuez et
  • iden­ti­fiez le fon­de­ment légal pour cha­cun d’entre eux.

Consentement

  • Éva­luez la manière dont vous deman­dez, obte­nez et enre­gis­trez le consen­te­ment et
  • appor­tez les modi­fi­ca­tions nécessaires.

Enfants

Déve­lop­pez des systèmes

  • qui véri­fient l’âge de la per­sonne concer­née et
  • qui demandent le consen­te­ment au(x) parent(s) ou au(x) tuteur(s) pour le trai­te­ment de don­nées de mineurs.

Fuite de données

Pré­voyez des pro­cé­dures adé­quates pour

  • détec­ter,
  • rap­por­ter et
  • ana­ly­ser des fuites de don­nées à carac­tère personnel.

Conception et analyse d’impact

  • Fami­lia­ri­sez-vous avec les notions 
    • de pro­tec­tion des don­nées dès la concep­tion et
    • d’ana­lyse d’impact rela­tive à la pro­tec­tion des don­nées et
  • exa­mi­nez la manière dont vous pou­vez mettre en œuvre ces concepts dans le fonc­tion­ne­ment de votre entre­prise ou organisation.

Délégué à la protection des données

  • Dési­gnez au besoin un délé­gué à la pro­tec­tion des don­nées ou une per­sonne qui est res­pon­sable du res­pect des règles de pro­tec­tion des données.
  • Éva­luez la place que cette per­sonne occupe au sein de la struc­ture et de la poli­tique de votre entre­prise ou organisation.

Autorité compétente au niveau international

Si votre entre­prise ou orga­ni­sa­tion est active au niveau inter­na­tio­nal, déter­mi­nez de quelle auto­ri­té de contrôle vous relevez.

Contrats existants

  • Éva­luez vos contrats exis­tants, prin­ci­pa­le­ment avec des sous-trai­tants, et
  • appor­tez les chan­ge­ments néces­saires en temps utile.

Besoin d’aide pour vous mettre en conformité ?

Un audit est urgent dans presque toutes les entreprises ! Commerçants, professions libérales, ASBL, tout le monde est concerné.

Il s’agit d’une règle­men­ta­tion assez com­plexe et d’un chan­ge­ment de culture…

De lourdes amendes peuvent être encou­rues en cas d’enquête admi­nis­tra­tive ou en cas de retard à une demande d’un client.

Plus d’informations sur la protection des données à caractère personnel

Il per­met aux citoyens de l’Union euro­péenne (UE) de mieux contrô­ler leurs don­nées à carac­tère per­son­nel. Il moder­nise et uni­for­mise éga­le­ment les règles per­met­tant aux entre­prises de dimi­nuer la bureau­cra­tie et de pro­fi­ter d’une meilleure confiance du consommateur.

Le règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD) fait par­tie du paquet de réformes de l’UE sur la pro­tec­tion des don­nées, et de la direc­tive sur la pro­tec­tion des don­nées dans les sec­teurs de la police et de la jus­tice pénale.

Le RGPD ren­force les droits exis­tants, octroie de nou­veaux droits et accorde aux citoyens un meilleur contrôle sur leurs don­nées à carac­tère per­son­nel, notamment :

  • un meilleur accès à leurs don­nées — y com­pris en four­nis­sant plus d’in­for­ma­tions sur la manière dont les don­nées sont trai­tées et en garan­tis­sant que ces infor­ma­tions sont dis­po­nibles de manière claire et compréhensible ;
  • un nou­veau droit à la por­ta­bi­li­té des don­nées — des­ti­né à faci­li­ter le trans­fert de don­nées à carac­tère per­son­nel entre pres­ta­taires de services ;
  • un droit d’effacement (« droit à l’oubli ») plus clair — lorsqu’une per­sonne ne sou­haite plus que ses don­nées soient trai­tées et qu’il n’existe pas de motif légi­time de les conser­ver, les don­nées seront effacées ;
  • le droit de savoir quand ses don­nées à carac­tère per­son­nel ont été pira­tées — les entre­prises et les orga­ni­sa­tions devront infor­mer sans délai les per­sonnes en cas de vio­la­tion grave des don­nées. Elles devront éga­le­ment en infor­mer les auto­ri­tés de contrôle de la pro­tec­tion des don­nées compétentes.

Le RGPD est conçu pour créer des oppor­tu­ni­tés com­mer­ciales et encou­ra­ger l’innovation grâce à dif­fé­rentes mesures, y compris :

  • un ensemble unique de règles euro­péennes — une légis­la­tion euro­péenne unique pour la pro­tec­tion des don­nées repré­sen­te­rait une éco­no­mie de 2,3 mil­liards d’euros par an ;
  • un délé­gué à la pro­tec­tion des don­nées, char­gé de la pro­tec­tion des don­nées, sera dési­gné par les auto­ri­tés publiques et par les entre­prises qui traitent les don­nées à grande échelle ;
  • un gui­chet unique — les entre­prises ne doivent trai­ter qu’avec une seule auto­ri­té de contrôle (dans le pays de l’UE dans lequel elles sont prin­ci­pa­le­ment implantées);
  • des règles euro­péennes pour les entre­prises non euro­péennes — les entre­prises basées en dehors de l’UE doivent appli­quer les mêmes règles quand elles pro­posent des ser­vices ou des biens, ou suivent le com­por­te­ment des per­sonnes au sein de l’UE ;
  • des règles pro­pices à l’innovation — une garan­tie que les mesures de pro­tec­tion des don­nées sont inté­grées dans les pro­duits et les ser­vices depuis les pre­mières étapes du déve­lop­pe­ment (pro­tec­tion des don­nées dès la concep­tion et par défaut);
  • des tech­niques res­pec­tueuses de la vie pri­vée telles que la pseu­do­ny­mi­sa­tion (lorsque les champs d’identification dans un enre­gis­tre­ment de don­nées sont rem­pla­cés par un ou plu­sieurs iden­ti­fiants fac­tices) et le chif­fre­ment (lorsque les don­nées sont codées de manière telle que seules les par­ties auto­ri­sées peuvent les lire);
  • la sup­pres­sion des noti­fi­ca­tions — les nou­velles règles de pro­tec­tion des don­nées sup­pri­me­ront la plu­part des obli­ga­tions de noti­fi­ca­tion et les coûts asso­ciés à ces obli­ga­tions. Un des objec­tifs du règle­ment sur la pro­tec­tion des don­nées consiste à sup­pri­mer les obs­tacles au libre flux des don­nées à carac­tère per­son­nel au sein de l’UE. Il per­met­tra aux entre­prises de se déve­lop­per plus facilement ;
  • des ana­lyses d’impact — les entre­prises devront effec­tuer des ana­lyses d’impact lorsque le trai­te­ment des don­nées peut engen­drer un risque éle­vé pour les droits et liber­tés des per­sonnes physiques ;
  • la tenue des registres — les PME ne sont pas obli­gées de tenir des registres des acti­vi­tés de trai­te­ment, à moins que le trai­te­ment ne soit régu­lier ou sus­cep­tible d’engendrer un risque pour les droits et liber­tés de la per­sonne dont les don­nées sont traitées.

Cette info­gra­phie résume la situa­tion en France, mais est glo­ba­le­ment inté­res­sante aus­si pour la Bel­gique. L’au­to­ri­té com­pé­tente en France est la CNIL tan­dis qu’en Bel­gique, il s’a­git de la Com­mis­sion de la pro­tec­tion de la vie pri­vée.

Auteur de l’in­fo­gra­phie : (cc) CLUSIF.

Actualités

La Cour de justice de l’Union européenne invalide l’accès du public au registre des bénéficiaires effectifs (UBO).

La Cour de jus­tice de l’Union euro­péenne (Grande chambre) […]

L’administrateur d’une page Facebook doit être considéré comme responsable conjointement avec Facebook du traitement des données personnelles des visiteurs

La Cour de jus­tice de l’Union euro­péenne a jugé […]

2021-11-24T11:03:35+01:00
Aller en haut