Loading...

Le RGPD (Règlement Général sur la Protection des Données) s’appuie sur des principes de consentement du citoyen.

Le RGPD oblige les sociétés à refondre les contrats avec leurs sous-traitants. Dès lors, les devoirs des responsables de traitement des données et des sous-traitants ont évolué. Maintenant, les obligations du sous-traitant sont la transparence et la traçabilité, la tenue du registre de traitement des données, la nomination d’un Data Protection Officer (DPO) ou Le Délégué à la protection des données (DPD) interne ou externe dans certains cas.

La gouvernance des données consiste en la gestion globale de la disponibilité, de la pertinence, de l’exploitabilité, de l’intégrité et de la sécurité des données dans une entreprise.

La gouvernance des données personnelles, telle qu’elle ressort du RGPD (Règlement Général sur la Protection des Données), s’appuie sur plusieurs principes qui expriment l’esprit du règlement européen. Il s’agit en effet de responsabiliser les responsables de traitement et les sous-traitants en leur recommandant fortement de respecter certaines obligations.

Elle aide les organisations à gérer les informations dont elles disposent et à répondre à des questions telles que :

  • Qu’avez-vous comme informations nous concernant ?
  • D’où proviennent ces données ?
  • Que faites-vous de ces informations ?
  • Combien de temps allez-vous les conserver ?
  • Ces données sont-elles conformes aux politiques et aux règles de l’entreprise ?

Depuis le 25 mai 2018, date d’entrée en application du RGPD, la Commission Nationale Informatique et Liberté (CNIL) peut venir vérifier le niveau de conformité des organisations (entreprises et associations) et éventuellement prononcer des sanctions.

Le Délégué à la protection des données (DPD)

  • Informe et conseille le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent
  • Contrôle le respect du règlement et du droit national en matière de protection des données, pilote la conformité
  • Centralise l’inventaire traitements de données de l’entreprise
  • Conçoit des actions de sensibilisation et de formation du personnel participant aux opérations de traitement
  • Dispense des conseils en ce qui concerne l’analyse d’impact relative à la protection des données et vérifie son exécution

La collecte de certaines données dites sensibles, est strictement encadrée par le RGPD et requiert une vigilance particulière. Il s’agit des données révélant l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d’identification national unique (NIR ou numéro de sécurité sociale).

Les 4 étapes du RGPD :

  1. Constituer un registre de vos traitements de données
  2. Faire le tri dans vos données
  3. Respecter les droits des personnes
  4. Sécuriser vos données

Astuce (CNIL) :

Demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot passe » chaque année. Si ce taux est faible voire nul, c’est que votre politique de gestion des mots de passe n’est pas assez exigeante !

Le consentement « explicite » et « positif » :

Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées, notamment via l’acceptation des cookies sur les sites internet et sur le contrôle de l’utilisation qui est faite des données que les internautes envoient dans les formulaires de contact. Par exemple, il n’est plus possible que la case « j’accepte de recevoir la newsletter » soit pré-cochée lors de l’envoi d’un formulaire de contact dans lequel l’e-mail est renseigné.