Principales obligations imposées par le RGPD afin de se mettre aux normes :
Voici donc vos principales obligations imposées par le règlement général sur la protection des données afin de vous mettre en conformité :
- Protégez vos données dès leur conception, ce qu’on appelle le data protection de by design.
- Protéger vos données par défaut, c’est-à-dire avoir un état d’esprit de protection des données, dans tous les cas une déontologie et former vos employés et vos collaborateurs sur la protection des données à caractère personnel.
- Tenir un registre interne des traitements, qui regroupe tous les traitements effectués en cours d’exécution, ou programmés dans l’avenir. Ce registre sera à présenter à la CNIL en cas de contrôle.
- Effectuer une analyse d’impact sur la vie privée pour certains traitements sensibles.
Si vous traitez des données à caractère de personnel dites sensibles, vous êtes dans l’obligation d’effectuer une analyse d’impact sur la vie privée, avant d’effectuer le traitement.
Cette analyse d’impact doit être jointe au registre obligatoire afin de pouvoir être présenté au contrôleur de la CNIL. - Consulter la CNIL avant d’effectuer tout traitement concernant des données sensibles
- Vérifier la conformité de vos sous-traitants
- Et pour certaines entreprises, en fonction de leur taille et des données traitées, désigner un correspondant informatique ou Data Protection Officer.
Quelles sont mes autres obligations imposées par le RGPD ?
Nous avons vu vos obligations devant la sécurisation des données à caractère personnel, mais le règlement européen sur la protection des données inclut d’autres obligations.
Récolter les données intelligemment :
Vous devez récolter les données de manière explicite auprès des citoyens européens.
Cela veut dire que toute récolte de données personnelles auprès des citoyens, doit être couplée avec une explication claire et précise sur les finalités de cette récolte.
Vous ne pouvez plus demander l’autorisation au citoyen de partager ses données personnelles avec vos partenaires, sans être précis sur l’identité de ces partenaires et la finalité du partage. On appelle cela de la récolte opt-in.
Limiter la durée de conservation des données :
Dans l’intérêt du citoyen européen et pour limiter les risques de violation, la déontologie vous incite à ne pas garder les données plus longtemps que la durée nécessaire au traitement.
Tout traitement de données programmé doit donc inclure la durée de garde des données personnelles.
Cela, encore une fois, pour la sécurisation des données. Une donnée effacée ne risque plus d’être violée.
Respecter l’exercice du droit d’opposition, de rectification, d’accès direct, de portabilité et d’effacement des données.
Tout citoyen dont vous détenez les données personnelles a le droit de vous demander, à tout moment et par le moyen qu’il préfère :
- de lui fournir toutes les données dont vous disposez sur lui.
- de rectifier certaines données qui lui paraîtront incorrectes dans votre base.
- de vous faire exécuter son droit à la portabilité de ses données s’il décide de changer de prestataire.
- de vous demander d’effacer définitivement toutes les informations qui le concernent dans votre base de données et vous êtes dans l’obligation d’exécuter son ordre.
Vous avez un délai de deux mois pour répondre à sa demande.
Tout manquement à ces obligations pourrait engendrer une plainte de la part du citoyen européen auprès de la CNIL, ce qui aurait pour conséquence un contrôle de vos traitements de données à caractère personnel.
Devant une telle somme de vérifications et de modifications pour vous mettre aux normes du RGPD, il est fortement conseillé de désigner un DPO.
A voir aussi :
- Qu’est ce que le Règlement Général sur la Protection des données ?
- Quel sont les objectifs du RGPD ?
- Dans quel cas s’applique le RGPD ?
- Qui est responsable des traitements des données ?
- Que risque-t-on si l’on ne se met pas aux normes ?
- Qu’est ce qu’une donnée à caractère personnel ?
- Exemples de données à caractère personnel
- Qu’est ce qu’un traitement de données ?
- Le traitement des données est il exclusivement électronique ?
- Dans la pratique : Quels sont les traitements typiques ?
- Suis-je responsable si je sous-traite mes traitements ?
- Sécurité des données : bonnes pratiques pour le RGPD
- Que dois-je faire en cas de violation de mes données ?
- Que dois-je déclarer en cas de violation ?
- Principales obligations pour se mettre aux normes
- Quelles sont mes autres obligations pour le RGPD ?
- Que dois je faire pour me mettre aux normes du RGPD ?
- Comment faire pour se mettre aux normes ?
- Quelles sont les chances pour que la CNIL vienne me contrôler ?
- RGPD - Le télémarketing est il mort ?
- Ma mission de DPO Externe
- Comment répondre à une demande de droit d’accès aux données personnelles d'un citoyen ?
- Faire une demande de devis pour une Revue Initiale de conformité au RGPD
- Formation RGPD pour les développeurs
- Répondre aux demandes de droit d'accès aux données personelles
- RGPD et marketing : Le consentement explicite
- Former ses employés pour une meilleur protection des données