10 Choses qui changent ou viennent avec le RGPD

01. Être conforme RGPD – Soyez « Data-responsable »

La responsabilité est un principe au cœur du RGPD / GPDR et s’inscrit dans une logique de responsabilisation qui implique que les entreprises activent de leur propre chef leur mise en conformité par rapport au RGPD et la rendent effective. A ce titre, la responsabilité suppose non seulement que vous vous conformiez vous-même au RGPD (mise en œuvre responsable) mais en outre que vous rendiez compte de votre conformité (redevabilité).

02. Le DPO – Ancien CIL, il est le gardien de votre sérénité

Correspondant Informatique et Libertés (CIL) d’hier mais dans une fonction interne ou externe plus évoluée, le Délégué à la protection des données (DPO) est, tel que défini par la CNIL, le véritable « chef d’orchestre » en matière de protection des données personnelles au sein de votre entité. Il représente un pion majeur dans le pilotage d’une gouvernance de données sereine et garante de la protection des données et de la conservation du patrimoine informationnel de l’organisation.

03. Collecte des données – Pas sans le consentement de l’utilisateur

Le RGPD / GPDR renforce le recueil de consentement en l’étoffant d’une série d’obligations et d’exceptions dans la logique d’autodétermination informationnelle et de protection des personnes. Il est dorénavant du ressort des responsables de traitement de prouver qu’ils ont effectivement obtenu le consentement au préalable des personnes pour toutes finalités de traitement de leurs données.

04. Traitement des données – Pensez limitation, loyauté et licéité

Le RGPD / GPDR prévoit que les données personnelles ne soient collectées que pour des « finalités déterminées, explicites et légitimes ». C’est le principe de limitation des données : on ne peut faire usage des données de la personne concernée uniquement que pour des finalités de traitements spécifiques dont elle a été informée, sans autre consentement. Et ce que les données que vous traitez doivent correspondre à ce que lui a été décrit pour obtenir son consentement : c’est le principe de loyauté. Enfin, le traitement pour être licite doit satisfaire à au moins une des six conditions de l’article 6 du RGPD (licéité).

05. Propriété des données – Votre utilisateur a toujours le dernier mot

Le RGPD / GPDR consacre un nouveau droit, la portabilité des données, qui redonne à l’utilisateur, propriétaire des données, le contrôle sur la circulation de ses données sur la base d’un principe d’autodétermination informationnelle. L’utilisateur pourra par exemple faire transférer l’intégralité de ses données collectées d’une entreprise à l’autre et ainsi de suite. Cela favorisera par conséquent la concurrence.

06. Transfert de données hors UE – Vérifiez le niveau de protection

Tout transfert de données hors UE est encadré par un certain nombre d’outils juridiques qui conditionnent sa faisabilité par un haut niveau de protection des données. Le RGPD / GPRD vient compléter la liste de ces outils juridiques : par exemple le Privacy Shield pour le transfert des données vers les Etats-Unis, les Clauses Contractuelles Types de la Commission Européenne, les règles internet d’entreprise (BCR) et autres dérogations spécifiques. Vous devez procéder à la vérification de ces contrats pour vous assurer de leurs formalités et exigences.

07. Big Data – On pense Big mais on ne fait pas n’importe quoi

S’il y a une chose que le RGPD / GPDR a bien changé aussi, c’est le paysage du Big Data. La réglementation offre une voie d’encadrement du profilage qui en matière de Big Data implique d’utiliser des algorithmes d’analyse et de prédiction du comportement des consommateurs que ce soit leurs préférences, leurs achats etc. L’encadrement de cette technique par le RGPD consiste à faire accompagner le profilage d’une analyse d’impact relative à la protection des données personnelles.

08. Sécurité des données – A manipuler avec modération

Les données recueillies chez les personnes par les organismes sont régulièrement exposées à des risques d’insécurité et font l’objet d’atteintes de toutes sortes. La RGPD / GPDR exige des responsables de traitement et des sous-traitants des mesures de sécurité globales sur l’ensemble des données personnelles et des mesures de sécurité spécifiques sur les données dites sensibles. Ils sont également tenus de réaliser des analyses d’impact relative à la protection des données (DPIA).

09. De la labellisation à la certification – Plus qu’un pas !

Le RGPD / GPDR prévoit en son article 42 la mise en place de mécanismes de certification, de labels ou de marques en matière de protection des données par des organismes de certification, étendant ainsi la démarche de labellisation et de certification à tous les acteurs. Ceci constitue une véritable marque de confiance et un réel avantage économique. A titre d’exemple, la protection des données dès la conception d’un service (privacy by design) pourra être soumise à une certification.

10. DPIA – Le sésame de l’évaluation de risque

Outil d’étude de l’impact relative à la protection de (toutes) données à caractère personnel que vous traitez, il analyse les risques liés au traitement de ces données. La DPIA s’applique autant aux entreprises en charge de ces traitements qu’à leurs sous-traitants qui par exemple leurs fournissent des solutions pour ce faire. Il s’agit donc d’une démarche servant de preuve pour votre mise en conformité et qui par la même situe votre responsabilité.

Demandez une consultation RGPD

TÉLÉPHONE

ADRESSE

66 Avenue des Champs Elysées, 75008 Paris

MAIL & DEVIS