Le GDPR a un impact fort sur l’organisation de votre entreprise et les procédures mises en place. La protection des données personnelles devient centrale dans la manière dont celle-ci est gérée et contrôlée. De nombreuses dispositions réglementaires vous obligent à changer vos dispositifs comportementaux et institutionnels.

 

 

Enregistrement détaillé des activités de traitement

  • Enregistrement détaillé des opérations de traitement

Ce registre des activités de traitement contient un certain nombre d’informations sur les traitements mis en place : catégories de données traitées, but du traitement, service chargé de celui-ci, durée de conservation des données traitées, nom du responsable de traitement, etc.

Toute personne en faisant expressément la demande peut consulter le registre et en obtenir une copie.

 

 

étude d'impact sur la vie privée

Cette évaluation est obligatoire lorsque le traitement porte sur des données sensibles comme par exemple les opinions religieuses, et lorsqu’il s’agit de profilage.

Elle doit faire apparaitre les caractéristiques du traitement (par exemple l’envoi d’informations ciblées adaptées au profil du client), les risques encourus (par exemple le défaut d’obtention du consentement express préalable au profilage des personnes) et les mesures techniques et organisationnelles adoptées (par exemple la faculté de se désabonner à la newsletter pour un traitement marketing).

 

 

désignation d'un DPO

Diverses missions relatives à la prévention des risques liés au traitement des données personnelles lui sont confiées. Il doit notamment informer et conseiller le responsable du traitement. C’est aussi à lui que s’adressera la CNIL dans le contrôle du principe d’Accountability, lorsqu’elle peut vérifier à tout moment que l’entreprise est bien en conformité avec la réglementation.

La désignation d’un DPO est une obligation si l’entreprise appartient au secteur public, si son activité consiste en un suivi régulier et systématique des personnes à grande échelle (avec le profilage par exemple) ou si son activité porte sur le traitement à grande échelle de données sensibles.

 

 

Privacy by design

  • « Privacy by Design » 

Le respect de la vie privée doit être pris en compte dès la conception d’un projet numérique destiné à traiter des données personnes.

Pour cela, des mesures techniques concernant les systèmes informatiques et les infrastructures des réseaux doivent être prises. Par exemple, ces techniques peuvent consister à empêcher la modification ou la disparition des données. Des mesures organisationnelles portant sur les pratiques de l’entreprise doivent aussi être mises en place. Cela peut par exemple reposer sur la sensibilisation des salariés aux enjeux de sécurité et de confidentialité des données au travers de sessions de formation ou de notes de services.

 

 

Privacy bu default

  • « Privacy by Default » 

C’est garantir par défaut le plus haut niveau possible de protection des données. Dans ce cadre, le responsable de traitement doit faire en sorte que seules sont traitées les données nécessaires à chaque finalité du traitement, que les données ne sont pas conservées au-delà du délai minimum nécessaire au traitement, et que les données ne sont pas rendues accessibles à un nombre indéterminé de personnes.

On peut, par exemple, instaurer un processus de destruction automatique et systématique des données lorsque la finalité du traitement est atteinte.

 

règle du one stop shop

  • La règle du « One-Stop shop » 

Les citoyens et les entreprises de l’Union Européenne peuvent s’adresser à l’autorité́ de protection des données dans leur Etat membre.

Pour les entreprises, l’autorité compétente est celle de l’Etat dans lequel le siège de la société se trouve, peu importe si cette entreprise exerce son activité dans plusieurs Etats de l’Union Européenne.

 

 

obligation de notification

  • Obligation de notification 

Les entreprises ont l’obligation de notifier toute faille de sécurité dans un délai de 72 heures à la CNIL et aux personnes dont les données ont été violées.

Cette notification doit être précise. Elle doit contenir la nature de la violation, mais aussi les types de données, les coordonnées des personnes auprès desquelles des informations peuvent être demandées, les conséquences probables de cette violation mais aussi les mesures pour limiter ces conséquences.

 

 

Partage de responsabilités

  • Partage de responsabilité entre le responsable de traitement et le sous-traitant

Le responsable de traitement a l’obligation de vérifier que son sous-traitant respecte des obligations comme celles de sécurité, de confidentialité, d’accountability, etc. Le sous-traitant a quant à lui une obligation de conseil auprès du responsable de traitement pour la conformité au règlement. Celle-ci concerne l’étude d’impact, les failles, la sécurité, la destruction des données et la contribution aux audits.

Pour cela, la négociation contractuelle est centrale.

 

 

  • Limitation des transferts de données hors UE

Les transferts des données personnelles ne sont pas autorisés lorsqu’ils ont pour destination un pays ne présentant pas un niveau de protection comparable au droit de l’Union Européenne. Les pays autorisés sont la Suisse, le Canada, Andorre, l’Argentine, Guernesey, l’île de Man, les îles Féroé, Jersey, l’Australie, Israël, la Nouvelle-Zélande, l’Uruguay ou les Etats Unis (Privacy Shield).

Des exceptions sont cependant prévues lorsque des clauses contraignantes (Binding Corporate Rules) sont conclues au sein d’un même groupe, lorsque des clauses conventionnelles standards « data protection » adoptées par la Commission européenne sont adoptées ou lorsque le consentement explicite de la personne concernée par les données est recueilli.