Les autorités s'adaptent pour gérer les plaintes et les violations. Et oui, elles infligent des amendes. Voici une check-list, en termes simples, des mesures à prendre pour vous conformer le mieux possible aux dispositions du RGPD.
Vous voilà de retour après la première partie : super! Si vous l'avez manquée, vous pouvez toujours y jeter un coup d'œil ici. Dans cet article-ci, je discuterai les cinq vérifications importantes suivantes.
Privacy by Design - protection des données dès la conception
Les entreprises devraient disposer de mécanismes pour protéger les données personnelles dans la conception des nouveaux systèmes et processus. La confidentialité et la protection doivent être prises en compte par défaut.
Si votre entreprise crée une page web sur laquelle l'utilisateur peut s'abonner à une newsletter, il est sage de prévoir aussi un bouton d'opt-out. Prêt à installer une nouvelle application HR ? Assurez-vous qu'elle supporte plusieurs niveaux d'autorité en vue de la protection des données personnelles.
Data Protection Impact Assessment
Pour estimer l'impact des changements et des nouvelles actions, une Data Protection Impact Assessment ou analyse d'impact relative à la protection des données doit être menée à bien au lancement d'un nouveau projet, changement ou produit. L'analyse d'impact est une procédure qui doit être accomplie chaque fois qu'un changement important intervient dans le traitement des données personnelles. Il peut s'agir d'un nouveau processus ou d'un changement à un processus existant qui modifie la manière de traiter les données personnelles.
En tout cas, la DPIA est obligatoire si vous traitez les données personnelles de catégories spéciales ou des données concernant le passé judiciaire de la personne concernée. Tout n'est pas clair ? EASI peut vous aider. N'hésitez pas.
Transferts de données
Le responsable du traitement des données personnelles (également connus comme vous-même) reste responsable de la protection des données même si elles sont traitées par un tiers. Autrement dit, les organisations doivent veiller à la protection et à la confidentialité des données personnelles lorsque celles-ci sont transférées à l'extérieur de l'entreprise. Comment procéder? Un bon début: faire signer un contrat de sous-traitant par tous vos sous-traitants.
Et si les données personnelles sont transférées à l'extérieur de l'UE? Hmm... Il n'y a pas de problème si vous transférez des données personnelles en Andorre, Argentine, Canada, îles Féroé, Guernesey, île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay ou États-Unis d'Amérique (dans les limites du Privacy Shield framework). Voyez ici la dernière version de la liste des pays adéquatement protégés.
Si vous transférez des données vers des pays non cités ci-dessus, vous devez prendre des mesures supplémentaires avant que le transfert n'ait lieu.
Data Protection Officer - délégué à la protection des données
Le délégué à la protection des données est chargé de conseiller l'entreprise pour tout ce qui concerne les exigences du RGPD. "Avons-nous vraiment besoin d'un délégué à la protection des données?", demande-t-on souvent. Eh bien, cela dépend… Le délégué à la protection des données est obligatoire dans les cas suivants:
- Vous êtes une agence gouvernementale ou un organisme public ou
- Vous traitez des données personnelles de catégories spéciales ou
- Vous traitez des données personnelles relatives à des condamnations et délits ou
- Vous faites des observations régulières et systématiques de personnes concernées, à grande échelle, en guise d'activité principale
La plupart de ces termes sont relativement vagues (régulier, systématique, grande échelle, activité principale), mais tout est expliqué dans un article du European Data Protection Board: "Regular and Systematic Monitoring"
Sensibilisation et formation
Une organisation doit sensibiliser et former ses employés à la protection des données personnelles. La formation peut être plus ou moins complète selon la nature des données personnelles traitées ou des risques de violation. Essentiellement, les employés seront informés de ce qu'ils doivent savoir et des obligations de l'entreprise en matière de RGPD. Restez simple et direct. Répétez régulièrement la formation. Et n'oubliez pas de former vos nouveaux employés.
