Les 10 commandements du RGPD - Partie 1

19/04/2019
Author Avatar
Geert Van de Steen
Chief Information Security Officer , EASI

Les autorités s'adaptent pour gérer les plaintes et les violations. Et oui, elles infligent des amendes. Voici une check-list, en termes simples, des mesures à prendre pour vous conformer le mieux possible aux dispositions du RGPD.

Le Règlement général sur la protection des données n'est pas un document facile a digérer. Il faut être informé et persévérant pour assimiler l'ensemble de la législation, surtout quand il y a matière à discussion. Rares sont les entreprises qui font le nécessaire pour savoir si elles appliquent correctement le RGPD. Je crois que c'est regrettable.

Traitement des données à caractère personnel

Les organisations doivent traiter les données personnelles de manière licite, loyale et transparente.

  • Licite: signifie que le traitement des données personnelles doit s'appuyer sur un intérêt légitime. Les intérêts légitimes sont au nombre de 6. Ils sont décrits ici
  • Loyale: Les organisations ne peuvent traiter les données personnelles à d'autres fins qu'un intérêt légitime. Il suffit d'être honnête et de tenir vos promesses.
  • Transparente: Les organisations doivent informer les personnes concernées des modalités de traitement des données personnelles.

Limitation du traitement des données à caractère personnel

Vous devez limiter la collecte et le traitement des données personnelles au strict nécessaire. Vous ne pouvez pas conserver les données personnelles après que la finalité du traitement est atteinte. Conclusion:

  • Ne traitez pas les données personnelles au-delà de votre intérêt légitime
  • Traitez seulement les données personnelles dont vous avez besoin
  • Supprimez les données personnelles lorsque la finalité du traitement est atteinte. Vous ne pouvez pas les conserver plus longtemps. C'est illégal.

Les personnes concernées ont des droits

Toute personne concernée (essentiellement une personne physique, vous par exemple) a le droit de:

Consentement

Si la licéité du traitement des données personnelles repose sur le consentement de la personne concernée, un consentement clair et explicite doit être demandé à la personne concernée. Le consentement doit être documenté et archivé.

La personne concernée peut toujours retirer son consentement. En ce qui concerne les données personnelles des enfants, les organisations doivent prendre des mesures supplémentaires

Violation de données à caractère

Les organisations doivent tenir un registre de toutes les violations de données. L'autorité de protection des données doit être avertie en cas de risque pour les libertés des personnes concernées dans le cadre d'une violation. Une évaluation doit être effectuée afin d'informer la personne concernée elle-même.

Dans un prochain article, nous nous pencherons sur d'autres thèmes liés au RGPD : Privacy by Design, DPIA, transferts de données, etc.

New call-to-action

Current job openings

Sign up to our newsletter

Follow us

  

Share this article