Lors de traitements de données personnelles, il est impératif de respecter le nouveau règlement européen. Avec l’essor d’internet et du Big Data, et des législations nationales pas très claires à ce sujet, il faut garantir la protection de la vie privée ! Ce règlement général a pour but d’uniformiser la loi sur la protection des données, de responsabiliser les sociétés et de renforcer le droit des personnes !
Assurer le recensement des données collectées et le traitement des données personnelles
Parmi les données sensibles et les données à caractère personnel traitées par les entreprises on retrouve : les coordonnées, les données biométriques, l’orientation sexuelle, la situation familiale… La première étape est donc de recenser ce que fait votre société :
- La collecte de données ;
- Le traitement de données à caractère personnel ;
- Les finalités du traitement des données ;
- Le responsable du traitement et ses sous-traitants ;
- Les flux de données.
La désignation d’un DPO (Data Protection Officer) et utiliser un logiciel de protection des données
Le délégué à la protection des données est le remplaçant du Correspondant Informatique et libertés. Il a plusieurs missions lors du traitement de vos données, vous permettant de vous conformer au mieux avec la CNIL et le RGPD :
- Informer et conseiller l’entreprise sur les mesures techniques à adopter pour sauvegarder l’intérêt légitime des personnes physiques concernées ;
- Contrôler le respect du RGPD et la protection des données personnelles en entreprise ;
- Suivre la réalisation d’une analyse d’impact pour garantir la sécurité des données ;
- Coopérer avec la Cnil ;
- Assurer les droits et libertés des personnes concernées : droit d’accès, droit d’effacement, droit au transfert des données collectées, droit à la modification des données relatives à sa personne ;
- Répondre aux sollicitations de la CNIL et respecter les droits des personnes ainsi que leurs données.
Une des solutions pour entreprises afin d’aider le DPO est l’usage d’un logiciel de protection des données.
Avoir le consentement des personnes concernées
Dans une bonne politique de protection et de conservation des données, les entreprises doivent prouver qu’elles ont eu le consentement préalable et explicite des personnes avant de traiter les données.
Les responsables de traitement accompagnés du sous-traitant, doivent avoir l’aval des citoyens. Cela signifie que l’opt-in est ainsi obligatoire et ce, grâce à une simple case à cocher.
Prouver la conformité avec le RGPD
Ici nous faisons référence au principe d’accountability qui est la nécessité pour les sociétés de mettre en place des mécanismes et des procédés internes afin de prouver le respect des règles en vigueur sur la protection des données.
Ainsi, il faut permettre de prouver que le traitement de données est effectué en respectant les règles relatives au RGPD. On peut par exemple tenir un registre des activités recensant tous les traitements de données ayant été effectués. Il est également possible de faire une analyse d’impact sur la vie privée par le responsable de traitement. Enfin, on conseillera généralement de faire appel à un délégué à la protection des données.
Les sanctions en cas de non-conformité au RGPD
Le RGPD faisant suite à la loi informatique et libertés, est une obligation pour les sociétés et le non-respect peut réellement vous coûter cher. Suite à un investissement ou une injonction de la CNIL, deux sortes de sanctions peuvent être prévues afin de garantir la protection des données à caractère personnel :
- Une valeur de 2% du CA ou 10 millions d’euros d’amende ;
- 4% du CA en en cas de sanctions graves (comme le fait de ne pas demander le consentement avant de traiter les données à caractère personnel).
A lire aussi :