Se préparer au RGPD en 13 étapes 🇪🇺

Se préparer au RGPD en 13 étapes 🇪🇺

Le Règlement Général sur la Protection des Données redéfinit, au niveau européen, les règles relatives à la protection des données personnelles des citoyens.

Il s’applique aux entre­prises.

Commerçants

Professions libérales

ASBL

  • Nouveaux droits recon­nus aux consom­ma­teurs
  • Nécessité d’une révi­sion struc­tu­relle du trai­te­ment des don­nées per­son­nelles par les entre­prises

  • Adopté le 14/04/2016, il entre en vigueur le 25/05/2018.

L’entrée en vigueur de ce règle­ment euro­péen est immi­nente !

Mettez-vous en en confor­mi­té et évi­tez de lourdes sanc­tions en cas d’infraction ou de retard !

Geoffrey DELIÉGEGeoffrey DELIÉGE
Entrée en vigueur du RGPD !
25 mai 2018
0
0
0
0
Days
0
0
Hrs
0
0
Min
0
0
Sec

13 étapes pour se confor­mer au RGPD

Conscientisation

  • Informez les per­sonnes clés et les déci­deurs quant aux chan­ge­ments à venir.
  • Ils doivent éva­luer les consé­quences que le RGPD aura sur l’entreprise ou l’organisation.

Registre de données

  • Faites l’inventaire des don­nées à carac­tère per­son­nel que vous conser­vez,
  • notez
    • quelle est leur ori­gine et
    • les per­sonnes avec les­quelles vous les avez par­ta­gées.
  • Enregistrez vos trai­te­ments.

Vous devez éven­tuel­le­ment orga­ni­ser un audit d’information à cet effet.

Communication

  • Évaluez votre décla­ra­tion de confi­den­tia­li­té exis­tante et
  • pré­voyez les modi­fi­ca­tions néces­saires à y appor­ter à la lumière du RGPD.

Droits de la personne concernée

Vérifiez si les pro­cé­dures actuelles dans votre entre­prise ou orga­ni­sa­tion pré­voient tous les droits que la per­sonne concer­née peut invo­quer, y com­pris la manière :

  • dont les don­nées à carac­tère per­son­nel peuvent être sup­pri­mées ou
  • dont les don­nées seront com­mu­ni­quées par voie élec­tro­nique.

Demande d’accès

  • Mettez à jour vos pro­cé­dures d’accès exis­tantes et
  • réflé­chis­sez à la manière dont vous trai­te­rez désor­mais les demandes d’accès eu égard aux nou­veaux délais du RGPD.

Fondement légal pour le traitement

  • Documentez les dif­fé­rents types de trai­te­ments de don­nées que vous effec­tuez et
  • iden­ti­fiez le fon­de­ment légal pour cha­cun d’entre eux.

Consentement

  • Évaluez la manière dont vous deman­dez, obte­nez et enre­gis­trez le consen­te­ment et
  • appor­tez les modi­fi­ca­tions néces­saires.

Enfants

Développez des sys­tèmes

  • qui véri­fient l’âge de la per­sonne concer­née et
  • qui demandent le consen­te­ment au(x) parent(s) ou au(x) tuteur(s) pour le trai­te­ment de don­nées de mineurs.

Fuite de données

Prévoyez des pro­cé­dures adé­quates pour

  • détec­ter,
  • rap­por­ter et
  • ana­ly­ser des fuites de don­nées à carac­tère per­son­nel.

Conception et analyse d’impact

  • Familiarisez-vous avec les notions
    • de pro­tec­tion des don­nées dès la concep­tion et
    • d’ana­lyse d’impact rela­tive à la pro­tec­tion des don­nées et
  • exa­mi­nez la manière dont vous pou­vez mettre en œuvre ces concepts dans le fonc­tion­ne­ment de votre entre­prise ou orga­ni­sa­tion.

Délégué à la protection des données

  • Désignez au besoin un délé­gué à la pro­tec­tion des don­nées ou une per­sonne qui est res­pon­sable du res­pect des règles de pro­tec­tion des don­nées.
  • Évaluez la place que cette per­sonne occupe au sein de la struc­ture et de la poli­tique de votre entre­prise ou orga­ni­sa­tion.

Autorité compétente au niveau international

Si votre entre­prise ou orga­ni­sa­tion est active au niveau inter­na­tio­nal, déter­mi­nez de quelle auto­ri­té de contrôle vous rele­vez.

Contrats existants

  • Évaluez vos contrats exis­tants, prin­ci­pa­le­ment avec des sous-trai­tants, et
  • appor­tez les chan­ge­ments néces­saires en temps utile.

Extrait de : Commission Vie Privée, Nouveau Règlement euro­péen géné­ral sur la pro­tec­tion des don­nées

Besoin d’aide pour vous mettre en confor­mi­té ?

Un audit est urgent dans presque toutes les entreprises ! Commerçants, professions libérales, ASBL, tout le monde est concerné.

Il s’agit d’une règle­men­ta­tion assez com­plexe et d’un chan­ge­ment de culture…

De lourdes amendes peuvent être encou­rues en cas d’enquête admi­nis­tra­tive ou en cas de retard à une demande d’un client.

Contactez-moi

Plus d’informations sur la pro­tec­tion des don­nées à carac­tère per­son­nel

Quel est l’objet de ce règle­ment ?

Il per­met aux citoyens de l’Union euro­péenne (UE) de mieux contrô­ler leurs don­nées à carac­tère per­son­nel. Il moder­nise et uni­for­mise éga­le­ment les règles per­met­tant aux entre­prises de dimi­nuer la bureau­cra­tie et de pro­fi­ter d’une meilleure confiance du consom­ma­teur.

Le règle­ment géné­ral sur la pro­tec­tion des don­nées (RGPD) fait par­tie du paquet de réformes de l’UE sur la pro­tec­tion des don­nées, et de la direc­tive sur la pro­tec­tion des don­nées dans les sec­teurs de la police et de la jus­tice pénale.

Droits des citoyens

Le RGPD ren­force les droits exis­tants, octroie de nou­veaux droits et accorde aux citoyens un meilleur contrôle sur leurs don­nées à carac­tère per­son­nel, notam­ment :

  • un meilleur accès à leurs don­nées — y com­pris en four­nis­sant plus d’informations sur la manière dont les don­nées sont trai­tées et en garan­tis­sant que ces infor­ma­tions sont dis­po­nibles de manière claire et com­pré­hen­sible ;
  • un nou­veau droit à la por­ta­bi­li­té des don­nées — des­ti­né à faci­li­ter le trans­fert de don­nées à carac­tère per­son­nel entre pres­ta­taires de ser­vices ;
  • un droit d’effacement («droit à l’oubli») plus clair — lorsqu’une per­sonne ne sou­haite plus que ses don­nées soient trai­tées et qu’il n’existe pas de motif légi­time de les conser­ver, les don­nées seront effa­cées ;
  • le droit de savoir quand ses don­nées à carac­tère per­son­nel ont été pira­tées — les entre­prises et les orga­ni­sa­tions devront infor­mer sans délai les per­sonnes en cas de vio­la­tion grave des don­nées. Elles devront éga­le­ment en infor­mer les auto­ri­tés de contrôle de la pro­tec­tion des don­nées com­pé­tentes.

Règles pour les entre­prises

Le RGPD est conçu pour créer des oppor­tu­ni­tés com­mer­ciales et encou­ra­ger l’innovation grâce à dif­fé­rentes mesures, y com­pris :

  • un ensemble unique de règles euro­péennes — une légis­la­tion euro­péenne unique pour la pro­tec­tion des don­nées repré­sen­te­rait une éco­no­mie de 2,3 mil­liards d’euros par an ;
  • un délé­gué à la pro­tec­tion des don­nées, char­gé de la pro­tec­tion des don­nées, sera dési­gné par les auto­ri­tés publiques et par les entre­prises qui traitent les don­nées à grande échelle ;
  • un gui­chet unique — les entre­prises ne doivent trai­ter qu’avec une seule auto­ri­té de contrôle (dans le pays de l’UE dans lequel elles sont prin­ci­pa­le­ment implan­tées);
  • des règles euro­péennes pour les entre­prises non euro­péennes — les entre­prises basées en dehors de l’UE doivent appli­quer les mêmes règles quand elles pro­posent des ser­vices ou des biens, ou suivent le com­por­te­ment des per­sonnes au sein de l’UE ;
  • des règles pro­pices à l’innovation — une garan­tie que les mesures de pro­tec­tion des don­nées sont inté­grées dans les pro­duits et les ser­vices depuis les pre­mières étapes du déve­lop­pe­ment (pro­tec­tion des don­nées dès la concep­tion et par défaut);
  • des tech­niques res­pec­tueuses de la vie pri­vée telles que la pseu­do­ny­mi­sa­tion (lorsque les champs d’identification dans un enre­gis­tre­ment de don­nées sont rem­pla­cés par un ou plu­sieurs iden­ti­fiants fac­tices) et le chif­fre­ment (lorsque les don­nées sont codées de manière telle que seules les par­ties auto­ri­sées peuvent les lire);
  • la sup­pres­sion des noti­fi­ca­tions — les nou­velles règles de pro­tec­tion des don­nées sup­pri­me­ront la plu­part des obli­ga­tions de noti­fi­ca­tion et les coûts asso­ciés à ces obli­ga­tions. Un des objec­tifs du règle­ment sur la pro­tec­tion des don­nées consiste à sup­pri­mer les obs­tacles au libre flux des don­nées à carac­tère per­son­nel au sein de l’UE. Il per­met­tra aux entre­prises de se déve­lop­per plus faci­le­ment ;
  • des ana­lyses d’impact — les entre­prises devront effec­tuer des ana­lyses d’impact lorsque le trai­te­ment des don­nées peut engen­drer un risque éle­vé pour les droits et liber­tés des per­sonnes phy­siques ;
  • la tenue des registres — les PME ne sont pas obli­gées de tenir des registres des acti­vi­tés de trai­te­ment, à moins que le trai­te­ment ne soit régu­lier ou sus­cep­tible d’engendrer un risque pour les droits et liber­tés de la per­sonne dont les don­nées sont trai­tées.

Extrait de : « Protection des don­nées à carac­tère per­son­nel (à par­tir de 2018)», EUR-Lex

Les grands prin­cipes du RGPD

Guide de la Commission de Protection de la Vie pri­vée

Vade-mecum pour les PME

Guide de la Commission de Protection de la Vie pri­vée

Infographie : Les don­nées à carac­tère per­son­nel sont entrées dans l’ère du RGPD

Cette info­gra­phie résume la situa­tion en France, mais est glo­ba­le­ment inté­res­sante aus­si pour la Belgique. L’autorité com­pé­tente en France est la CNIL tan­dis qu’en Belgique, il s’agit de l” Autorité de pro­tec­tion des don­nées (ancienne Commission de la pro­tec­tion de la vie pri­vée).

Auteur de l’infographie : (cc) CLUSIF.

Dataviz du « Règlement géné­ral pour la pro­tec­tion des don­nées » (CNIL)

Les liens et conte­nus sont don­nés à titre pure­ment indi­ca­tif, sans res­pon­sa­bi­li­té quel­conque en ce qui concerne l’exactitude des infor­ma­tions qui y figurent. Les articles indi­qués sont la pro­prié­té intel­lec­tuelle de leurs auteurs.
2018-05-28T13:51:52+00:00
Auteur : Geoffrey DELIÉGE 2004-2018. Tous droits réservés.
Rss