Toute organisation récoltant des données concernant des résidents européens est obligée de se conformer au règlement général de la protection des données. Ce règlement européen régit l’obligation légale des entités à collecter et traiter les données des personnes physiques. Et permet aux personnes concernées de contrôler les finalités de leurs données recueillies.
La mise en conformité obligatoire
Depuis 2018, toutes les organisations traitant des données à caractère personnel sont dans l’obligation de se mettre en conformité avec le RGPD. Ce règlement visant la protection des données sert également à responsabiliser les professionnels quant à l’utilisation faite des données collectées dans le cadre de leur activité.
En effet, compte tenu des données sensibles parfois recueillies, ces derniers sont responsables de la gestion des données collectées comme la confidentialité des données, la non divulgation (en savoir plus sur l’exemple de Flexybeauty et sa gestion des données). Ils ont par conséquent des obligations de protection des informations récoltées. Sous peine de se voir sanctionner.
Dans les cas de collecte via sites internet ou formulaire en tout genre, les personnes concernées (utilisateurs et clients) doivent donner leur consentement pour le traitement de leurs données. Mais elles ont également un droit d’accès et la possibilité de procéder à la rectification ou l’effacement de toute information les concernant mais surtout de savoir l’usage qui en sera fait. La transparence doit donc désormais être la règle. Pour vous accompagner dans cette démarche de mise en conformité, la CNIL a mis en place avec les acteurs du secteur des outils. Vous en saurez plus chez My DPO.
Des outils simples encadrés par le rgpd
Un certain nombre d’outil rgpd participe à vous aider pour être en conformité avec la législation :
- la cartographie et le registre des traitements qui regroupera de manière précise toutes les informations utilisées : parties prenantes (sous-traitants, représentant, etc.), catégories de données traitées, l’utilisation des données et son accessibilité (par qui et à qui), la durée de conservation et la sécurisation des données ;
- un cadre de référence selon chaque secteur d’activité afin de déterminer les processus rgpd. Cet outil de régulation a pour objectif de donner davantage de sécurité juridique aux organismes ;
- le transfert de données est possible à condition d’assurer un niveau de protection adéquat ;
- le code de conduite qui est un outil de conformité sectoriel permettant aux adhérents de démontrer les bonnes pratiques mises en place. Ce code définit notamment des solutions concrètes pour la mise en conformité ;
- l’analyse d’impact relative à la protection des données (AIPD) qui aide à la construction des traitements de données dans le respect de la vie privée (connaissez-vous le brevet inpi ?). Cet outil est obligatoire lorsqu’il y a un risque élevé pour les droits et libertés des personnes concernées.
Cette liste d’outil rgpd ne se limite pas aux quelques éléments cités ci-dessus mais vous permette d’ores et déjà d’avoir une idée de ce qui doit être fait.
Externaliser sa mise en conformité
Il y a deux acteurs principaux dans la mise en conformité d’une entité :
- le responsable du traitement qui est généralement le responsable de l’établissement;
- le DPO (data protection officer) ou DPD (délégué à la protection des données), ancien CIL.
Ce dernier peut être externalisé lorsque vous ne disposez pas des ressources nécessaires en interne, que vous découvrez l’activité ou que vous n’en avez pas besoin à temps plein. L’externalisation de ce poste permet de sensibiliser les employés à la sécurité des données et au respect des obligations légales pour être conforme au règlement.
Il convient aux responsables de traitement de s’assurer de l’intégrité et des compétences du DPO que celui-ci soit interne ou externe. Sa désignation est obligatoire dans certains cas précis. C’est le cas par exemple des organismes et autorités publics ou de toutes entités ayant vocation à faire du traitement régulier.