5 points à vérifier pour être sûr d’être en conformité RGPD

1708

Grâce au Règlement Général sur la Protection des Données ou RGPD, le traitement des informations personnelles est désormais réglementé.

Cette loi est entrée en application en mai 2018. Elle concerne tous les organismes privés et publics qui manipulent des données personnelles appartenant aux citoyens européens.

Lire également : Comment créer une entreprise en France 

En cas de manquements, ils s’exposent à des sanctions financières lourdes. Ainsi, ils doivent tout mettre en œuvre pour se mettre en conformité. Voici les 5 points qu’ils doivent vérifier pour ce faire.

Identification des types de données

Le RGPD s’applique uniquement aux données à caractère personnel. Ainsi, la première question à se poser est la suivante : est-ce que votre projet informatique peut être considéré comme un traitement de données personnelles ?

A voir aussi : Logiciel de facturation, est-il obligatoire ou non ?

La réponse vous guidera dans la démarche à entreprendre. Rappelons qu’une donnée personnelle est une information permettant d’identifier une personne de manière directe ou indirecte. Il peut s’agir de :

  • son nom ;
  • sa photo ;
  • son adresse IP ;
  • son empreinte digitale ;
  • son adresse postale ;
  • son adresse mail ;
  • son numéro de sécurité sociale…

Si vous gérez l’un de ces types de données, vous êtes tenu de vous conformer au RGPD. Pour cela, vous aurez sûrement besoin d’utiliser un logiciel conformité rgpd ; cliquez ici pour en trouver un.

Le principe de collecte licite et proportionnée des données

Le principe de licéité

Selon ce principe, lorsque des données personnelles sont collectées, les personnes concernées doivent en être informées.

D’ailleurs, elles doivent être recueillies directement de ces dernières et non par le biais de mentions d’informations. En effet, toute collecte indirecte est passible de sanctions pénales.

Quoi qu’il en soit, la CNIL prévoit quelques exceptions. Elles sont nommées « zones grises » comme la cooptation, le parrainage ou la prospection commerciale.

Le principe de proportionnalité

Le principe de proportionnalité est mentionné dans l’article 5 du RGPD. Il se résume comme suit : vous pouvez traiter les données personnelles comme vous le souhaitez, à condition de respecter les limites.

Ce principe est relatif, donc il nécessite une analyse au cas par cas. L’important est de trouver un certain équilibre.

Selon le RGPD, les finalités de traitement doivent être explicites, licites et pertinentes. De même, les données doivent uniquement être utilisées conformément à ces objectifs.

Quoi qu’il en soit, il peut être difficile de déterminer si une information est proportionnée ou non, étant donné que la loi ne donne aucune précision à ce sujet.

C’est pourquoi il est fortement recommandé d’utiliser des outils performants comme un logiciel conformité rgpd pour vous aider.

Les données sensibles

Dans le cas où une organisation gère des données particulièrement sensibles, elle doit mener une analyse d’impact relative à la protection des données ou AIPD. Sont considérées comme sensibles les informations sur :

  • les opinions politiques ;
  • les origines ethniques ou raciales ;
  • l’appartenance syndicale ;
  • les convictions philosophiques et religieuses ;
  • les données de santé ;
  • les données biométriques ;
  • l’orientation sexuelle…

L’AIPD est un outil utilisé pour construire un traitement respectueux de la vie privée et conforme au RGPD. En effet, il peut engendrer un risque important sur les droits et libertés des personnes concernées.

Il faut noter que l’étude d’impact doit avoir lieu avant le traitement. Il est préférable de le mettre en œuvre le plus tôt possible et de l’actualiser si besoin.

D’ailleurs, il est conseillé de réaliser régulièrement une AIPD pour s’assurer que le niveau de risque reste acceptable durant le traitement.

L’analyse d’impact doit être menée par le responsable de traitement. Les sous-traitants doivent aussi lui venir en aide en lui fournissant les informations nécessaires. Dans le cas où l’entreprise concernée a nommé un DPO, il est tenu de vérifier la bonne exécution de l’AIPD.

Le respect des droits des personnes fichées

Des procédures doivent être mises en place pour garantir le respect des droits des personnes fichées :

Le droit de suite

Les tiers doivent être informés si des données sont supprimées.

Le droit à l’effacement

Le droit à l’effacement est mentionné dans l’article 17 du RGPD. Si une personne demande à ce que ses données soient effacées, cela doit être fait dans les meilleurs délais.

De plus, elle n’a pas besoin de justifier sa décision. Si l’organisme souhaite ne pas supprimer les données, elle devra donner des raisons acceptables (les données sont pertinentes et le traitement est licite et proportionné).

La mise en place de la portabilité des données

Les données communiquées à une plateforme doivent être recueillies dans un format adapté pour pouvoir être transmises à un concurrent. Seules les données fournies par la personne sont concernées.

Le droit d’accès

Les personnes titulaires des données doivent pouvoir y accéder à tout moment et faire exercer leurs différents droits (rectification, opposition, effacement…).

Le consentement

Le consentement est l’une des bases légales d’un traitement. Sans l’accord des personnes, aucune donnée ne peut être exploitée.

D’ailleurs, le consentement doit à la fois être libre, éclairé et spécifique. Il doit se manifester par un acte positif et univoque. Si la personne s’abstient de donner son consentement, celui-ci ne peut être considéré comme valide.

La désignation d’un DPO

La nomination d’un Délégué à la Protection des Données ou DPO est uniquement obligatoire dans les cas suivants :

  • une entité publique est chargée du traitement des données ;
  • les données traitées sont à caractère sensible ou relatives à des infractions et des condamnations pénales ;
  • la structure pratique une activité qui la conduit à réaliser un suivi systématique et à grande échelle des personnes.

En-dehors de ces cas, la désignation d’un DPO n’est pas une obligation. Toutefois, elle est fortement recommandée, car ce professionnel est chargé d’identifier et de coordonner les actions à mener en termes de protection des données personnelles.

Les missions du DPO

Les missions du DPO sont nombreuses :

  • il doit informer et conseiller le responsable de traitement ;
  • il doit collaborer avec l’autorité de contrôle ;
  • il est tenu de fournir des conseils sur l’AIPD à la demande du responsable de traitement ;
  • il est chargé de contrôler le respect du RGPD ;
  • il est le point de contact de l’autorité de contrôle au sein de l’organisme.

Seule une personne disposant de connaissances approfondies en système d’informatique et en protection des données personnelles peut remplir les missions de DPO.

Les autres points à vérifier

Dans le cadre de la mise en conformité RGPD, plusieurs autres points doivent être vérifiés. On peut citer les suivants :

  • la documentation de la conformité ;
  • le principe d’accountability ;
  • la déclaration des formalités auprès de la CNIL ;
  • le transfert des données à l’international ;
  • la sécurité des données ;
  • le respect du droit à l’oubli.

De nombreux outils sont désormais mis à la disposition des responsables des traitements pour les aider à mettre en œuvre les actions nécessaires pour respecter le règlement européen. Le logiciel conformité rgpd en fait partie.