Étape n°2 : Les nouvelles obligations des entités mettant en œuvre des traitements de données à caractère personnel
En contrepartie de cette plus grande liberté, ces entités se voient imposer de nouvelles obligations, dans un souci de responsabilisation.
Le principe essentiel issu du règlement est le principe d’accountability.
L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et des procédures internes.
Celles-ci doivent permettre de démontrer que les traitements de données à caractère personnel respectent les règles relatives à la protection des données.
Une politique de protection des données globale
Chaque entité doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception ("Privacy by design") et par défaut ("Privacy by default"), que les traitements qu’elle s’apprête à mettre en œuvre sont bien conformes à la réglementation.
Le Privacy by design consiste en la nécessité de mettre en place les mesures appropriées pour tenir compte de la protection des données personnelles dans les projets depuis leur origine.
Le Privacy by default consiste quant à lui à permettre aux personnes dont les données sont collectées d’obtenir le plus haut niveau de protection possible.
Cela signifie que les entreprises doivent mettre en œuvre les mesures techniques et procédures internes appropriées pour garantir que, par défaut, seules les données qui sont nécessaires au regard de la finalité spécifique du traitement sont collectées et utilisées.
Une analyse d’impact sur la vie privée
Afin de connaître les mesures appropriées à mettre en œuvre et ainsi prouver la conformité au règlement, les entreprises peuvent (et dans certaines circonstances prévues par le règlement, doivent), procéder à une analyse d’impact sur la vie privée.
Cette analyse doit contenir une :
- Description systématique des opérations de traitement envisagées et des finalités du traitement
- Évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
- Évaluation des risques pour les droits et libertés des personnes concernées
- Mesures envisagées pour faire face aux risques.
Où en êtes-vous de votre digitalisation ?
Un registre des activités de traitement
Une autre obligation issue de ce règlement est l’obligation pour les entreprises de tenir un registre des activités de traitement.
Ce registre remplace la déclaration préalable auprès de la CNIL. Il s’agit encore de responsabiliser les entreprises qui doivent "s’autocontrôler".
Dans ce registre, qui doit être mis à jour régulièrement, au fur et à mesure de la mise en œuvre de nouveaux traitements ou de la modification de traitements existants, doivent être consignés :
- l’ensemble des traitements effectués
- les finalités des tratements effectués
- les données collectées
- la durée de conservation de ces données
- les personnes ayant accès à ces données.
Que faire en cas de faille de sécurité ?
Enfin, en cas de failles de sécurité, les entreprises auront 72h à compter de leur découverte pour en informer la CNIL et les mesures qu’elles comptent prendre pour y remédier.
Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, les entreprises devront le communiquer à ces personnes dans les meilleurs délais.
L’autorité de contrôle (CNIL) peut imposer l’information de la personne concernée.
Nous parlerons le mois prochain d’un acteur très important de ce règlement, le DPO (Data protection officer – Délégué à la protection des données). Nous évoquerons également l’impact du RGPD sur vos relations avec vos partenaires, dont les sous-traitants.
Rendez-vous le mois prochain pour la troisième étape sur le DPO (Data protection officer – Délégué à la protection des données) et l’impact du RGPD sur vos relations avec vos partenaires, dont les sous-traitants.
Article rédigé par Inforeg et Enterprise Europe Network