Obligations imposées par le RGPD

Principales obligations imposées par le RGPD afin de se mettre aux normes :

Voici donc vos principales obligations imposées par le règlement général sur la protection des données afin de vous mettre en conformité :Obligations pour le règlement général sur la protection des données : data privacy by design

  • Protégez vos données dès leur conception, ce qu’on appelle le data protection de by design.
  • Protéger vos données par défaut, c’est-à-dire avoir un état d’esprit de protection des données, dans tous les cas une déontologie et former vos employés et vos collaborateurs sur la protection des données à caractère personnel.
  • Tenir un registre interne des traitements, qui regroupe tous les traitements effectués en cours d’exécution, ou programmés dans l’avenir. Ce registre sera à présenter à la CNIL en cas de contrôle.
  • Effectuer une analyse d’impact sur la vie privée pour certains traitements sensibles.
    Si vous traitez des données à caractère de personnel dites sensibles, vous êtes dans l’obligation d’effectuer une analyse d’impact sur la vie privée, avant d’effectuer le traitement.
    Cette analyse d’impact doit être jointe au registre obligatoire afin de pouvoir être présenté au contrôleur de la CNIL.
  • Consulter la CNIL avant d’effectuer tout traitement concernant des données sensibles
  • Vérifier la conformité de vos sous-traitants
  • Et pour certaines entreprises, en fonction de leur taille et des données traitées, désigner un correspondant informatique ou Data Protection Officer.

 

Quelles sont mes autres obligations imposées par le RGPD ?

Nous avons vu vos obligations devant la sécurisation des données à caractère personnel, mais le règlement européen sur la protection des données inclut d’autres obligations.Obligations pour le règlement général sur la protection des données : durée de conservation des données personnelles

Récolter les données intelligemment :

Vous devez récolter les données de manière explicite auprès des citoyens européens.
Cela veut dire que toute récolte de données personnelles auprès des citoyens, doit être couplée avec une explication claire et précise sur les finalités de cette récolte.
Vous ne pouvez plus demander l’autorisation au citoyen de partager ses données personnelles avec vos partenaires, sans être précis sur l’identité de ces partenaires et la finalité du partage. On appelle cela de la récolte opt-in.

Limiter la durée de conservation des données :

Dans l’intérêt du citoyen européen et pour limiter les risques de violation, la déontologie vous incite à ne pas garder les données plus longtemps que la durée nécessaire au traitement.
Tout traitement de données programmé doit donc inclure la durée de garde des données personnelles.

Cela, encore une fois, pour la sécurisation des données. Une donnée effacée ne risque plus d’être violée.

Respecter l’exercice du droit d’opposition, de rectification, d’accès direct, de portabilité et d’effacement des données.

Tout citoyen dont vous détenez les données personnelles a le droit de vous demander, à tout moment et par le moyen qu’il préfère :

  • de lui fournir toutes les données dont vous disposez sur lui.
  • de rectifier certaines données qui lui paraîtront incorrectes dans votre base.
  • de vous faire exécuter son droit à la portabilité de ses données s’il décide de changer de prestataire.
  • de vous demander d’effacer définitivement toutes les informations qui le concernent dans votre base de données et vous êtes dans l’obligation d’exécuter son ordre.
Evolution des plaintes à la CNIL
Les citoyens déposent de plus en plus de plaintes à la CNIL

Vous avez un délai de deux mois pour répondre à sa demande.

Tout manquement à ces obligations pourrait engendrer une plainte de la part du citoyen européen auprès de la CNIL, ce qui aurait pour conséquence un contrôle de vos traitements de données à caractère personnel.

Devant une telle somme de vérifications et de modifications pour vous mettre aux normes du RGPD, il est fortement conseillé de désigner un DPO.


A voir aussi :