RGPD

Alors que jusqu’à aujourd’hui la responsabilité du traitement des données incombait uniquement au responsable de traitement, avec le nouveau règlement, tous les acteurs intervenant dans le traitement des données personnelles sont responsables de la conformité avec le RGPD.
Si vous faites appel à un sous-traitant, il est important de veiller à ce que celui-ci soit en mesure de protéger les données que vous lui transmettrez. Il doit présenter toutes les garanties nécessaires à la confidentialité et sécurisation des données.

Chaque individu devra donner un accord explicite préalable à l’utilisation de ses données.

Qu’est-ce que cela implique ?
– Il faut obtenir une acceptation claire via un formulaire d’opt-in et dans l’idéal de double opt-in.
– Chaque individu doit pouvoir activer en totalité ou de manière partielle la récolte de ses cookies.
– Les personnes concernées doivent être informées sur l’utilisation de leurs données : nature des données collectées, finalité de traitement, durée de conservation, destinataires des données, etc.

La CNIL impose également la tenue d’un registre afin de cartographier les données personnelles. Celles-ci devront, à tout moment, pouvoir être identifiées et localisées.

Elle suppose que toute information relative au traitement des données d’une personne soit facilement accessible, compréhensible et modifiable.
La durée de conservation des données devra par exemple être clairement communiquée et respectée. Chaque individu possède le droit de demander la suppression de toutes ses données personnelles.

Comment l’appliquer ?
Chaque entité, en tant que responsable de traitement, devra s’assurer que tout son processus de collecte et de traitement de données respecte le RGPD : collecte de cookies, formulaires d’inscription (ex : mentions claires, cases à cocher non pré-cochées), actions de fidélisation, offres promotionnelles, transmission d’un fichier client à un partenaire, etc.

Ce délégué, appelé aussi DPO (Data Protection Officer en anglais), est le point de contact avec les autorités et le garant de la mise en conformité avec le RGPD. Il est également l’interlocuteur des personnes souhaitant exercer leurs droits et doit veiller à tenir informé le responsable de traitement ou le sous-traitant.

Le DPO doit disposer de compétences spécifiques, notamment de connaissances précises en droit et sur les pratiques en matière de protection des données.
De par les enjeux et les compétences requises, le choix de sa nomination peut s’avérer complexe, entre externalisation et désignation interne.

Chaque collaborateur, susceptible de traiter des données, doit être informé des bonnes pratiques et sanctions encourues en cas de non-respect de la loi. Les enjeux de sécurité et de confidentialité des données doivent être abordés au travers de formations, notes de services, livres blancs et autres communications internes à l’entreprise.