La nouvelle réglementation européenne sur les Données Personnelles
Applicable à compter du 25 mai 2018, le RGPD impose des obligations spécifiques aux sous-traitants dont la responsabilité sera susceptible d’être engagée en cas de manquement. Ces obligations concernent tous les organismes qui traitent des données personnelles telles que les cartes de fidélité par exemple.
De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
La CNIL a réalisé un guide d’utilisation en plusieurs étapes :
DÉSIGNER UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Il sera le chef d’orchestre ainsi que le responsable légal de l’utilisation et de la protection des données. Celui-ci est obligatoire si vous êtes un organisme public ou si vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles ».
CARTOGRAPHIER LES TRAITEMENTS DE DONNÉES PERSONNELLES
Il n’y aura plus de déclaration obligatoire auprès de la CNIL mais uniquement l’obligation de s’enregistrer sur un registre des traitements (Modèle fiche registre). La cartographie des traitements consiste en un recensement précis du traitement des données personnelles (liste on exhaustive) :
- Pourquoi le traitement ?
- Durée de conservation des données
- Quels types de données
- A qui sont-elles transférées ?
- Par quel moyen on traite les données ?
- Stockage en cloud ou non ?
- Qui traite les données ?
- Où sont stockées les données (Europe, Pays Tiers) ?
- Où sont situés les serveurs ?
- Qui a accès aux données ?
LES ACTIONS À MENER POUR SE METTRE EN CONFORMITÉ
- Seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
- Identifiez la base juridique sur laquelle se fonde votre traitement comme par exemple le consentement de la personne, etc.
- Des mentions d’information conformes aux exigences du règlement
- Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités.
- Vérifiez leur contrat et s’ils ont accès aux données, prévoyez des clauses de non utilisation des données, de sécurité, etc.
- Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, etc.)
METTRE EN PLACE DES PROCESSUS INTERNES
- Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement.
- Sensibiliser et organiser la remontée d’information auprès des collaborateurs.
- Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits sur leurs données personnelles en définissant les modalités.
- Anticiper les violations de données.
DOCUMENTER LA CONFORMITÉ
Cela devra comporter :
- Le registre des traitements
- Les analyses d’impact en cas de traitement de données « sensibles »
- L’encadrement des transferts hors de l’Union Européenne
- Les mentions d’informations obligatoires
- Les preuves de la validation du consentement des personnes concernées par les données personnelles
- Le procédures mises en place pour l’exercice du droit des personnes concernées
- Les contrats des sous-traitants
- Les procédures en cas de violations des données
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Sources : CNIL
Pour plus de précisions n’hésitez pas à nous contacter