Aller au contenu principal

Quelles sont les obligations des organisations en matière de RGPD ?

BeBusinessFocus

Obligation générale de sécurité et de confidentialité

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.

Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service.

Ainsi, il est tenu de limiter la quantité de données traitée dès le départ (principe dit de « minimisation ») et doit démontrer cette conformité à tout moment.

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.).

Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles.

Les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé, ou de la sécurité publique mis en œuvre pour le compte de l’État).

Obligation d'information

L'entreprise qui détient des données personnelles doit informer la personne concernée de :

  • l'identité du responsable du fichier ;
  • la finalité du traitement des données ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les droits d'accès, de rectification, d'interrogation et d'opposition ;
  • les transmissions des données.

L'exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations, et notamment :

  • recueillir l'accord des clients ;
  • informer les clients de leur droit d'accès, de modification et de suppression des informations collectées ;
  • veiller à la sécurité des systèmes d'information ;
  • assurer la confidentialité des données ;
  • indiquer une durée de conservation des données.

L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.

Analyse d'impact en cas de risque élevé pour les droits et libertés des personnes

Pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes, le responsable du traitement doit mener une analyse d'impact sur la vie privée (PIA) pour évaluer , en particulier, l'origine, la nature, la particularité et la gravité de ce risque.

Cette étude doit être présentée à la Cnil si elle n'a pas permis de diminuer suffisamment le risque pour le rendre acceptable.

Les données concernées doivent porter sur :

  • les informations sensibles (origine, opinions politiques, religieuses, syndicales), biométriques ou génétiques notamment ;
  • l' évaluation des personnes (profilage par exemple) ;
  • les fichiers ayant une finalité particulière (études statistiques de l'Insee, traitements de recherche médicale par exemple) ;
  • les transferts de données hors de l'Union européenne.

Le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données :

  • si leur activité fait partie du secteur public ;
  • si leur activité principale amène un suivi régulier et systématique de personnes à grande échelle ;
  • si leur activité principale amène le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et infractions.

Le délégué est chargé :

  • d'informer et de conseiller le responsable de traitement (ou le sous-traitant) et ses employés ;
  • de contrôler le respect du règlement européen et du droit français en matière de protection des données ;
  • de conseiller l'organisme sur la réalisation d'une analyse d'impact et d'en vérifier l'exécution ;
  • de coopérer avec l'autorité de contrôle et d'être son contact.

Le délégué à la protection des données doit avoir les qualités et compétences suivantes :

  • communiquer efficacement et exercer ses fonctions en toute indépendance (ne pas avoir de de conflit d'intérêts avec ses autres missions) ;
  • une expertise en matière de législations et pratiques (protection des données), acquise notamment par une formation continue ;
  • une bonne connaissance du secteur d'activité et de l'organisation de l'organisme (opérations de traitement, systèmes d'information et besoins de l'organisme en matière de protection et de sécurité des données) ;
  • une position efficace en interne pour faire un rapport au niveau le plus élevé de l'organisme ;
  • animer un réseau de relais au sein des filiales d'un groupe par exemple et/ou une équipe d'experts en interne (expert informatique, juriste, expert en communication, traducteur par exemple).

Le délégué peut être une personne issue du domaine technique, juridique ou autre.

Autres obligations

Tous les organismes qui traitent des données personnelles ont l'obligation de tenir un registre de l'ensemble des traitements.

Toutefois les entreprises de moins de 250 salariés doivent seulement inscrire au registre :

  • les traitements non occasionnels ;
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes ;
  • les traitements qui portent sur des données sensibles.

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.

Réalisé par Zendesk