Le règlement général sur la protection des données (RGPD) de l'Union européenne est un ensemble de règles sur la manière dont les entreprises doivent traiter les données personnelles des personnes concernées. Comprendre les obligations du RGPD peut parfois être une tâche ardue, alors prenez connaissance des 5 principales obligations pour être conforme grâce à ce résumé.
1) Désignation d'un délégué à la protection des données
Lorsqu'il y a un traitement important de données à caractère personnel dans une entreprise, celle-ci doit désigner un responsable à la protection des données. Le délégué est chargé de conseiller l'entreprise sur le respect des exigences du RGPD de l'UE. Les fonctions, obligations et exigences du responsable de la protection des données dans l'entreprise sont les suivantes :
- Garantir les principes relatifs au traitement des données
- Établir la légitimité du traitement
- Obtenir un consentement valide
- Garantir la transparence dans la collecte des données
- Garantir les droits des personnes concernées
- Établir des mesures de sécurité
- Garantir la vie privée par conception et par défaut
- Maintenir un registre des activités de traitement
- Notifier les incidents de sécurité
- Évaluer l'impact de la protection des données
- Consulter au préalable l'Agence de protection des données
- Contrôler les transferts internationaux de données
Toutes ces obligations doivent être dûment documentées et mises à la disposition de l'Autorité de surveillance à tout moment, selon le principe de proactivité établi par la réglementation communautaire.
Créé par stories
2) Respect de la vie privée et transfert de données
Les entreprises doivent intégrer des mécanismes organisationnels et techniques de protection des données personnelles dans la conception de nouveaux systèmes et processus ; c'est-à-dire que les aspects relatifs à la vie privée et à la protection doivent être garantis par défaut.
Par ailleurs, le responsable du traitement des données à caractère personnel a la responsabilité proactive de veiller à ce que les données personnelles soient collectées et que les exigences du RGPD soient respectées, même si le traitement est effectué par un tiers. Cela signifie que les responsables du traitement des données ont l'obligation d'assurer la protection et la confidentialité des données personnelles qui sont transférées en dehors de l'entreprise, à une tierce partie ou à une autre entité au sein de la même entreprise.
3) Vérification des données : traitement légal, équitable et transparent
Les parties intéressées se sont vu attribuer le droit de demander à l'entreprise quelles sont les informations dont elle dispose à leur sujet et ce qu'elle fait de ces informations. Les entreprises qui traitent des données à caractère personnel sont tenues de le faire de manière légale, équitable et transparente. Mais qu'est-ce que cela signifie ?
- Légal signifie que tout traitement doit être fondé sur une finalité légitime.
- Équitable signifie que les entreprises assument leur responsabilité et ne traitent pas les données à des fins non légitimes.
- Transparent signifie que les entreprises doivent informer les personnes concernées de leurs activités de traitement des données à caractère personnel.
Par ailleurs, si l'entreprise a l'intention de traiter des données personnelles au-delà de la finalité légitime pour laquelle elles ont été collectées, le consentement clair et explicite de la personne concernée doit être demandé. Une fois recueilli, ce consentement doit être documenté, et la personne concernée peut le retirer à tout moment. En outre, pour le traitement des données relatives aux enfants, le RGPD exige le consentement explicite des parents ou tuteurs si l'enfant a moins de 16 ans.
Recommandé pour vous - "Les principaux changements dus à la mise en place du RGPD"
4) Analyse d'impact sur la protection des données
Pour estimer l'impact des changements ou des nouvelles actions, une évaluation de la portée de la protection des données doit être réalisée lors du lancement d'un nouveau projet, changement ou produit. L'évaluation d'impact sur la protection des données est une procédure qui doit être effectuée lorsqu'un changement significatif dans le traitement des données à caractère personnel est introduit. Ce changement peut être un nouveau processus ou une modification d'un processus existant qui révise la manière dont les données à caractère personnel sont traitées.
5) Limitation de la finalité, données et stockage
Les entreprises sont censées limiter le traitement, ne collecter que les données nécessaires et ne pas conserver les données à caractère personnel une fois que la finalité du traitement est atteinte. Il en résulte les exigences suivantes :
- Interdire le traitement des données à caractère personnel en dehors de la finalité légitime pour laquelle elles ont été collectées.
- Ne pas exiger que d'autres données personnelles que celles qui sont nécessaires soient demandées.
- Demander à ce que les données à caractère personnel soient supprimées une fois que la finalité légitime pour laquelle elles ont été collectées a été atteinte.
Pour conclure, il existe un nombre important d'exigences liées au RGPD de l'UE. Il est important de comprendre ces exigences, ainsi que leurs implications pour votre entreprise, et de les mettre en œuvre dans le contexte de votre organisation. Une telle implémentation demande bien des efforts, de la même manière que pour la réalisation d'un projet.