Obligations du RGPD

Le 25 mai 2018 de nombreuses formalités auprès de la CNIL vont disparaître.
Néanmoins le devoir du responsable du traitement et des sous-traitants est renforcé.

Vous devrez notamment assurer une protection optimale des données à chaque instant et être en mesure
de le prouver en documentant votre conformité au RGPD.

Pour être en conformité avec le RGPD vous devrez :

l

Rédiger un document
d’avant-vente à destination
des clients ou prospects

Désigner un Délégué
à la Protection des Données (DPO)

U

Réviser vos Conditions
Générales de Ventes pour
une mise en conformité

Cartographier vos traitements de données personnelles
N

Vérifier la conformité
de vos partenaires au RGPD

Mettre en place des mesures techniques et organisationnelles

Rédiger un document d'avant-vente

L’objectif de ce document est d’expliquer la politique Informatique et Libertés mise en oeuvre au sein de votre structure.

La loi Informatique et Libertés sert de référence à tout ce qui touche de près comme de loin à :

– la collecte,
– l’enregistrement,
– la conservation,
– l’adaptation,
– la modification,
– l’extraction,
– la consultation,
– l’utilisation,
– la diffusion,
– la mise à disposition,
– l’effacement,
– ou encore la destruction de données à caractère personnel.

Désignation d’un DPO

Dans 99% des cas, la désignation d’un DPO n’est pas obligatoire. Néanmoins dans certains cas il est fortement recommander de désigner un Délégué à la Protection des Données. Les mission du DPO sont nombreuses, il est notamment chargé de mettre en oeuvre la conformité au RGPD au sein de la structure qui l’emploi et de la maintenir.

Révisez vos CGV

Avec l’entrée en vigueur imminente du RGPD toutes les structures devront revoir leur Conditions Générales de Ventes .

Elles devront par exemple indiquer les droits des personnes dont les données sont recueillis, la durée de conversation des données à caractère personnel, le droit à la portabilité ou encore si un transfert hors Union Européenne est envisagé, l’existence d’une décision d’adéquation de la Commission ou les garanties de protection.

Cartographier vos traitements

Afin de mesurer l’impact du RGPD sur les traitements de données à caractère personnel que vous réalisez, vous devrez recenser de façon précise l’ensemble des traitements que vous réalisez en interne et externe.

Le registre de traitement des données indiquera les différents traitements de données, les catégories de données traitées, les objectifs des traitements, les intervenants internes et externes (sous-traitants) qui traitent des données, et les flux afin d’identifier les éventuels transferts de données hors UE.

Vérifiez la conformité de vos partenaires

L’article 28 du RGPD indique que

 » lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes  »

de manière à ce que le traitement de données à caractère personnel réponde aux exigence du RGPD.

Mesures techniques & organisationnelles

L’article 28 du Règlement Général sur la Protection des Données précise que toutes les structures doivent mettre en place des mesures techniques et organisationnelles afin que le traitement réponde aux exigences du RGPD.

Concrètement cela implique une obligation de transparence et de traçabilité, la prise en compte des principes de protection des données dès leurs conceptions, et de sécuriser l’ensemble des données traitées via différentes solutions techniques.