Les autorités s'adaptent pour gérer les plaintes et les violations. Et oui, elles infligent des amendes. Voici une check-list, en termes simples, des mesures à prendre pour vous conformer le mieux possible aux dispositions du RGPD.
Le Règlement général sur la protection des données n'est pas un document facile a digérer. Il faut être informé et persévérant pour assimiler l'ensemble de la législation, surtout quand il y a matière à discussion. Rares sont les entreprises qui font le nécessaire pour savoir si elles appliquent correctement le RGPD. Je crois que c'est regrettable.
Traitement des données à caractère personnel
Les organisations doivent traiter les données personnelles de manière licite, loyale et transparente.
- Licite: signifie que le traitement des données personnelles doit s'appuyer sur un intérêt légitime. Les intérêts légitimes sont au nombre de 6. Ils sont décrits ici.
- Loyale: Les organisations ne peuvent traiter les données personnelles à d'autres fins qu'un intérêt légitime. Il suffit d'être honnête et de tenir vos promesses.
- Transparente: Les organisations doivent informer les personnes concernées des modalités de traitement des données personnelles.
Limitation du traitement des données à caractère personnel
Vous devez limiter la collecte et le traitement des données personnelles au strict nécessaire. Vous ne pouvez pas conserver les données personnelles après que la finalité du traitement est atteinte. Conclusion:
- Ne traitez pas les données personnelles au-delà de votre intérêt légitime
- Traitez seulement les données personnelles dont vous avez besoin
- Supprimez les données personnelles lorsque la finalité du traitement est atteinte. Vous ne pouvez pas les conserver plus longtemps. C'est illégal.
Les personnes concernées ont des droits
Toute personne concernée (essentiellement une personne physique, vous par exemple) a le droit de:
- Demander à une organisation quelles informations elle détient à son sujet
- Demander à une organisation ce qu'elle fait avec ses données personnelles
- Demander à une organisation de rectifier les données personnelles
- S'opposer au traitement des données personnelles
- Déposer plainte contre l'organisation
- Demander l'effacement ou le transfert de ses données personnelles.
Consentement
Si la licéité du traitement des données personnelles repose sur le consentement de la personne concernée, un consentement clair et explicite doit être demandé à la personne concernée. Le consentement doit être documenté et archivé.
La personne concernée peut toujours retirer son consentement. En ce qui concerne les données personnelles des enfants, les organisations doivent prendre des mesures supplémentaires.
Violation de données à caractère
Les organisations doivent tenir un registre de toutes les violations de données. L'autorité de protection des données doit être avertie en cas de risque pour les libertés des personnes concernées dans le cadre d'une violation. Une évaluation doit être effectuée afin d'informer la personne concernée elle-même.
Dans un prochain article, nous nous pencherons sur d'autres thèmes liés au RGPD : Privacy by Design, DPIA, transferts de données, etc.
