Dans ce deuxième épisode de notre série spéciale RGPD nous allons nous consacrer à ce que le RGPD va changer pour les organismes en matière de traitement de données personnelles.
Les mesures principales du RGPD
Le texte du RGPD a pour but de remplacer la directive sur la protection des données personnelles de 1995 et donc d’être le texte de référence pendant les années à venir. Comme tout texte de loi, il est très long, cependant, seulement certaines de ses mesures auront un réel impact sur les entreprises.
Identifier les traitements des données personnelles
La déclaration obligatoire à la CNIL est vouée à disparaitre dans un futur plus ou moins proche. Afin de se prémunir, les entreprises devront être capables de garantir et de prouver que le traitement des données est conforme et sécurisé, et ce même en cas de contrôle surprise. Ainsi, le traitement des données se doit d’être traçable afin de pouvoir démontrer que leur manipulation est conforme aux bonnes pratiques à tous les niveaux (collecte, stockage, utilisation, partage ou destruction)
Étendre les obligations aux sous-traitants
Comme évoqué dans le premier épisode de la série, les organismes réalisant du traitement ne seront pas les seuls à devoir respecter le RGPD. Les sous-traitants devront donc se mettre en conformité et les entreprises devront choisir des prestataires qui de leur côté respectent les exigences de la loi.
Nommer un Data Protection Officer
Le RGPD encourage d’engager un DPO, qui aura pour rôle de mettre en place et superviser les processus de gestion et de traitement des données tout en respectant la législation en place.
Le Data Protection Officer est même obligatoire dans les 3 cas suivants :
- les organismes publics
- les organismes manipulant des données « à grande échelle »
- les organismes qui manipulent des données sensibles (santé, juridique…)
Transparence totale sur le traitement de données personnelles
La collecte de données va, dorénavant’, être très encadrée. Ainsi il ne sera plus possible de récupérer des données personnelles sans un accord explicite de la part de la personne (opt-in). En cas de contrôle l’entreprise doit pouvoir prouver le consentement.
Droits des personnes relatif au traitement de données
Le RGPD introduit de nouveaux droits pour les personnes :
- La portabilité des données: Ainsi l’utilisateur peut réclamer à un prestataire de transférer toutes ses données personnelles à un concurrent et ce sans restriction.
- Le droit à l’oubli: une personne pourra réclamer la destruction totale de ses données personnelles.
- La protection des données de mineurs de moins de 16 ans : Les organismes seront dans l’obligation de recevoir l’accord explicite d’un représentant légal afin de collecter leurs données.
Prévenir la CNIL et la personne en cas de violation de la vie privée
Si un organisme venait à enfreindre le RGPD ou à violer la vie privée d’une personne elle a obligation de prévenir la personne concernée et la CNIL sous trois jours maximum.
Vous avez des questions en tête auxquelles nous n’avons pas répondu ?
N’hésitez pas à nous écrire.
BSL Sécurité – Better Services for Leaders *
* le meilleur pour les leaders