La nécessité d’être en conformité avec le RGPD
Toute entreprise, qu’elle soit de petite ou de grande taille, doit se soumettre aux règles de protection des données du règlement européen. C’est au responsable du traitement de tout mettre en œuvre pour assurer un niveau de protection élevé. Il doit être assisté du DPO, pour l’instauration d’une mesure relative à la protection des données traitées. Auquel cas, les amendes liées à la violation de la loi informatique et du RGPD, peuvent aller jusqu’à 4% du chiffre d’affaires de l’entreprise.
Les étapes indispensables pour se conformer au RGPD
La désignation d’un DPO
Le DPO est le responsable de la mise en conformité au RGPD. Sa mission est de garantir une protection accrue des données personnelles. Collaborant avec la direction et le personnel, il reste tout de même indépendant dans son rôle de contrôleur des règles RGPD.
La cartographie des données traitées
L’entreprise doit tenir un registre de traitements de données. Il permettra d’identifier les acteurs traitant des dites données et d’en assurer la protection.
Il est également indispensable de faire un historique des traitements de données personnelles afin d’en déceler l’origine et l’utilisation.
L’inventaire devra indiquer :
-
- Les divers traitements effectués ;
-
- Les types de traitements faits et les données recueillies (ainsi que leurs finalités) ;
-
- Les acteurs intervenants dans le traitement des données ;
-
- Les conditions d’exécutions ;
-
- La durée de conservation.
L’analyse d’impact
Cette analyse permet de gérer les éventuels risques inhérents à la fuite de données ou à leur violation et d’anticiper les mesures de protection à adopter.
La mise en conformité de ses contrats avec le RGPD
L’une des principales obligations du Règlement général relatif à la protection des données personnelles est l’encadrement des relations entre les sous-traitants et le responsable du traitement. Cela est d’autant plus valable si les données à caractère personnel sont transmises entre eux. l l l
Il est donc indispensable de faire un audit des contrats pour s’assurer que les clauses contractuelles y sont mentionnées. A défaut, il faudra signer un avenant afin de les intégrer. l l ll l l l
Les clauses devant figurer dans ce contrat entre prestataires
Selon l’article 28 du règlement sur la protection des données à caractère personnel, certaines mentions doivent figurer dans les contrats entre le sous-traitant et les autres prestataires de services :
-
- La nécessite de se conformer aux instructions du responsable de traitement des données ;
-
- L’interdiction d’entamer le traitement des données personnelles sans instructions ;
-
- L’obligation de rester confidentiel quant aux traitements de données personnelles ;
-
- Afficher les détails des mesures de protection des données ;
-
- Les conditions pour faire appel à des prestataires de services ;
-
- Le respect d’une demande d’exercice de ses droits par une personne physique ;
-
- L’obligation de suppression ou de renvoi de leurs données ;
-
- La fourniture de toutes les informations indispensables au responsable de traitement.
Conformément à la loi informatique et libertés et aux exigences de la CNIL, ces données doivent figurer sur toute clause rgpd contrat.
Le transfert de données hors de l’Union Européenne
Si la relation de sous-traitance abouti à un transfert des données personnelles hors de l’Union Européenne, alors le contrat sera soumis à des dispositions spéciales. La Commission Européenne a ainsi prévu dans ce cas, que les clauses contractuelles ci-dessus soient adoptées. Cette règle n’étant pas valable si le tiers installé hors de l’UE fait partie d’un pays dans lequel la politique de protection des données est valable. l l l l l
Ces nouvelles obligations n’étant pas nécessaires pour les prestataires vivant aux Etats-Unis et ayant la certification Privacy Shield.
Les dites clauses doivent être complétées et signées sur le modèle remis par la Commission Européenne et accessible sur le site de la CNIL.