Se conformer au RGPD 🇪🇺

Se conformer au RGPD

Le Règlement Général sur la Protection des Données redéfinit, au niveau européen, les règles relatives à la protection des données personnelles des citoyens.

Ce nou­veau règle­ment euro­péen est déjà entré en vigueur !

Mettez-vous en en confor­mi­té et évi­tez de lourdes sanc­tions en cas d’infraction ou de retard !

Geoffrey DELIÉGEGeoffrey DELIÉGE

Il s’applique aux entreprises.

  • Commerçants
  • Professions libé­rales
  • ASBL

Il modifie la réglementation.

  • Nouveaux droits recon­nus aux consom­ma­teurs
  • NĂ©cessitĂ© d’une rĂ©vi­sion struc­tu­relle du trai­te­ment des don­nĂ©es per­son­nelles par les entre­prises
  • AdoptĂ© le 14/04/2016, il entre en vigueur le 25/05/2018.

13 Ă©tapes pour se conformer au RGPD

Conscientisation

  • Informez les per­sonnes clĂ©s et les dĂ©ci­deurs quant aux chan­ge­ments Ă  venir.
  • Ils doivent Ă©va­luer les consé­quences que le RGPD aura sur l’entreprise ou l’organisation.

Registre de données

  • Faites l’inventaire des don­nĂ©es Ă  carac­tère per­son­nel que vous conser­vez,
  • notez
    • quelle est leur ori­gine et
    • les per­sonnes avec les­quelles vous les avez par­ta­gĂ©es.
  • Enregistrez vos trai­te­ments.

Vous devez éven­tuel­le­ment orga­ni­ser un audit d’information à cet effet.

Communication

  • Évaluez votre dĂ©cla­ra­tion de confi­den­tia­li­tĂ© exis­tante et
  • pré­voyez les modi­fi­ca­tions nĂ©ces­saires Ă  y appor­ter Ă  la lumière du RGPD.

Droits de la personne concernée

Vérifiez si les pro­cé­dures actuelles dans votre entre­prise ou orga­ni­sa­tion pré­voient tous les droits que la per­sonne concer­née peut invo­quer, y com­pris la manière :

  • dont les don­nĂ©es Ă  carac­tère per­son­nel peuvent ĂŞtre sup­pri­mĂ©es ou
  • dont les don­nĂ©es seront com­mu­ni­quĂ©es par voie Ă©lec­tro­nique.

Demande d’accès

  • Mettez Ă  jour vos pro­cé­dures d’accès exis­tantes et
  • rĂ©flé­chis­sez Ă  la manière dont vous trai­te­rez dĂ©sor­mais les demandes d’accès eu Ă©gard aux nou­veaux dĂ©lais du RGPD.

Fondement légal pour le traitement

  • Documentez les dif­fé­rents types de trai­te­ments de don­nĂ©es que vous effec­tuez et
  • iden­ti­fiez le fon­de­ment lĂ©gal pour cha­cun d’entre eux.

Consentement

  • Évaluez la manière dont vous deman­dez, obte­nez et enre­gis­trez le consen­te­ment et
  • appor­tez les modi­fi­ca­tions nĂ©ces­saires.

Enfants

Développez des sys­tèmes

  • qui vĂ©ri­fient l’âge de la per­sonne concer­nĂ©e et
  • qui demandent le consen­te­ment au(x) parent(s) ou au(x) tuteur(s) pour le trai­te­ment de don­nĂ©es de mineurs.

Fuite de données

Prévoyez des pro­cé­dures adé­quates pour

  • dĂ©tec­ter,
  • rap­por­ter et
  • ana­ly­ser des fuites de don­nĂ©es Ă  carac­tère per­son­nel.

Conception et analyse d’impact

  • Familiarisez-vous avec les notions
    • de pro­tec­tion des don­nĂ©es dès la concep­tion et
    • d’ana­lyse d’impact rela­tive Ă  la pro­tec­tion des don­nĂ©es et
  • exa­mi­nez la manière dont vous pou­vez mettre en Ĺ“uvre ces concepts dans le fonc­tion­ne­ment de votre entre­prise ou orga­ni­sa­tion.

Délégué à la protection des données

  • DĂ©signez au besoin un dĂ©lé­guĂ© Ă  la pro­tec­tion des don­nĂ©es ou une per­sonne qui est res­pon­sable du res­pect des règles de pro­tec­tion des don­nĂ©es.
  • Évaluez la place que cette per­sonne occupe au sein de la struc­ture et de la poli­tique de votre entre­prise ou orga­ni­sa­tion.

Autorité compétente au niveau international

Si votre entre­prise ou orga­ni­sa­tion est active au niveau inter­na­tio­nal, déter­mi­nez de quelle auto­ri­té de contrôle vous rele­vez.

Contrats existants

  • Évaluez vos contrats exis­tants, prin­ci­pa­le­ment avec des sous-trai­tants, et
  • appor­tez les chan­ge­ments nĂ©ces­saires en temps utile.

Besoin d’aide pour vous mettre en confor­mi­té ?

Un audit est urgent dans presque toutes les entreprises ! Commerçants, professions libérales, ASBL, tout le monde est concerné.

Il s’agit d’une règle­men­ta­tion assez com­plexe et d’un chan­ge­ment de culture…

De lourdes amendes peuvent être encou­rues en cas d’enquête admi­nis­tra­tive ou en cas de retard à une demande d’un client.

Contactez-moi

Plus d’informations sur la protection des données à caractère personnel

Il per­met aux citoyens de l’Union euro­péenne (UE) de mieux contrô­ler leurs don­nées à carac­tère per­son­nel. Il moder­nise et uni­for­mise éga­le­ment les règles per­met­tant aux entre­prises de dimi­nuer la bureau­cra­tie et de pro­fi­ter d’une meilleure confiance du consom­ma­teur.

Le règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD) fait par­tie du paquet de réformes de l’UE sur la pro­tec­tion des don­nées, et de la direc­tive sur la pro­tec­tion des don­nées dans les sec­teurs de la police et de la jus­tice pénale.

Le RGPD ren­force les droits exis­tants, octroie de nou­veaux droits et accorde aux citoyens un meilleur contrôle sur leurs don­nées à carac­tère per­son­nel, notam­ment :

  • un meilleur accès Ă  leurs don­nĂ©es — y com­pris en four­nis­sant plus d’informations sur la manière dont les don­nĂ©es sont trai­tĂ©es et en garan­tis­sant que ces infor­ma­tions sont dis­po­nibles de manière claire et com­pré­hen­sible ;
  • un nou­veau droit Ă  la por­ta­bi­li­tĂ© des don­nĂ©es — des­ti­nĂ© Ă  faci­li­ter le trans­fert de don­nĂ©es Ă  carac­tère per­son­nel entre pres­ta­taires de ser­vices ;
  • un droit d’effacement (« droit Ă  l’oubli ») plus clair — lorsqu’une per­sonne ne sou­haite plus que ses don­nĂ©es soient trai­tĂ©es et qu’il n’existe pas de motif lĂ©gi­time de les conser­ver, les don­nĂ©es seront effa­cĂ©es ;
  • le droit de savoir quand ses don­nĂ©es Ă  carac­tère per­son­nel ont Ă©tĂ© pira­tĂ©es — les entre­prises et les orga­ni­sa­tions devront infor­mer sans dĂ©lai les per­sonnes en cas de vio­la­tion grave des don­nĂ©es. Elles devront Ă©ga­le­ment en infor­mer les auto­ri­tĂ©s de contrĂ´le de la pro­tec­tion des don­nĂ©es com­pé­tentes.

Le RGPD est conçu pour créer des oppor­tu­ni­tés com­mer­ciales et encou­ra­ger l’innovation grâce à dif­fé­rentes mesures, y com­pris :

  • un ensemble unique de règles euro­pĂ©ennes — une lĂ©gis­la­tion euro­pĂ©enne unique pour la pro­tec­tion des don­nĂ©es repré­sen­te­rait une Ă©co­no­mie de 2,3 mil­liards d’euros par an ;
  • un dĂ©lé­guĂ© Ă  la pro­tec­tion des don­nĂ©es, char­gĂ© de la pro­tec­tion des don­nĂ©es, sera dĂ©si­gnĂ© par les auto­ri­tĂ©s publiques et par les entre­prises qui traitent les don­nĂ©es Ă  grande Ă©chelle ;
  • un gui­chet unique — les entre­prises ne doivent trai­ter qu’avec une seule auto­ri­tĂ© de contrĂ´le (dans le pays de l’UE dans lequel elles sont prin­ci­pa­le­ment implan­tĂ©es);
  • des règles euro­pĂ©ennes pour les entre­prises non euro­pĂ©ennes — les entre­prises basĂ©es en dehors de l’UE doivent appli­quer les mĂŞmes règles quand elles pro­posent des ser­vices ou des biens, ou suivent le com­por­te­ment des per­sonnes au sein de l’UE ;
  • des règles pro­pices Ă  l’innovation — une garan­tie que les mesures de pro­tec­tion des don­nĂ©es sont inté­grĂ©es dans les pro­duits et les ser­vices depuis les pre­mières Ă©tapes du dĂ©ve­lop­pe­ment (pro­tec­tion des don­nĂ©es dès la concep­tion et par dĂ©faut);
  • des tech­niques res­pec­tueuses de la vie pri­vĂ©e telles que la pseu­do­ny­mi­sa­tion (lorsque les champs d’identification dans un enre­gis­tre­ment de don­nĂ©es sont rem­pla­cĂ©s par un ou plu­sieurs iden­ti­fiants fac­tices) et le chif­fre­ment (lorsque les don­nĂ©es sont codĂ©es de manière telle que seules les par­ties auto­ri­sĂ©es peuvent les lire);
  • la sup­pres­sion des noti­fi­ca­tions — les nou­velles règles de pro­tec­tion des don­nĂ©es sup­pri­me­ront la plu­part des obli­ga­tions de noti­fi­ca­tion et les coĂ»ts asso­ciĂ©s Ă  ces obli­ga­tions. Un des objec­tifs du règle­ment sur la pro­tec­tion des don­nĂ©es consiste Ă  sup­pri­mer les obs­tacles au libre flux des don­nĂ©es Ă  carac­tère per­son­nel au sein de l’UE. Il per­met­tra aux entre­prises de se dĂ©ve­lop­per plus faci­le­ment ;
  • des ana­lyses d’impact — les entre­prises devront effec­tuer des ana­lyses d’impact lorsque le trai­te­ment des don­nĂ©es peut engen­drer un risque Ă©le­vĂ© pour les droits et liber­tĂ©s des per­sonnes phy­siques ;
  • la tenue des registres — les PME ne sont pas obli­gĂ©es de tenir des registres des acti­vi­tĂ©s de trai­te­ment, Ă  moins que le trai­te­ment ne soit rĂ©gu­lier ou sus­cep­tible d’engendrer un risque pour les droits et liber­tĂ©s de la per­sonne dont les don­nĂ©es sont trai­tĂ©es.

Cette info­gra­phie résume la situa­tion en France, mais est glo­ba­le­ment inté­res­sante aus­si pour la Belgique. L’autorité com­pé­tente en France est la CNIL tan­dis qu’en Belgique, il s’agit de la Commission de la pro­tec­tion de la vie pri­vée.

Auteur de l’infographie : (cc) CLUSIF.

Actualités

Google condamné en France à supprimer les coordonnées d’une profession libérale : quid en Belgique ?

Cas […]

L’administrateur d’une page Facebook doit être considéré comme responsable conjointement avec Facebook du traitement des données personnelles des visiteurs

La Cour de jus­tice de l’Union euro­péenne a jugé […]

RGPD : le Conseil National de l’Ordre des Médecins et la CNIL publient un guide pratique à l’attention des médecins

L’autorité fran­çaise de pro­tec­tion […]

Les liens et conte­nus sont don­nés à titre pure­ment indi­ca­tif, sans res­pon­sa­bi­li­té quel­conque en ce qui concerne l’exactitude des infor­ma­tions qui y figurent. Les articles indi­qués sont la pro­prié­té intel­lec­tuelle de leurs auteurs.
2018-11-02T21:43:26+00:00