CONTENUS DU MODULE
Ce dernier module expose une partie des nouvelles obligations légales des responsables de traitement et sous-traitants, imposées par le Règlement européen.
OBJECTIFS PÉDAGOGIQUES
Le Règlement européen impose de nouvelles obligations qui vont impacter considérablement toute entité amenée à gérer des données personnelles : entreprises, associations, organismes publics ainsi que leurs sous-traitants.
Et le principe de “Privacy by Design” est une de ces nouvelles obligations. Car avec le GDPR, tout projet doit intégrer la protection des données dès la conception : quelles données doivent être collectées, dans quel but, quelles informations doivent être transmises aux clients ou prospects, doit-on recueillir leur consentement ? Est-ce qu’une étude d’impact sur la vie privée doit être menée ? Au vu de toutes les données traitées, il est impératif d’associer le DPO dès le début du projet.
Le DPO est le délégué à la protection des données. Il doit être nommé par les entreprises, dès lors qu’un traitement de données est régulièrement pratiqué, ou que les données concernées sont sensibles.
Interlocuteur privilégié de l’Autorité de contrôle, le DPO s’assure du respect de la réglementation.
Pour assurer sa mission, il orchestre les actions de sensibilisation, de conseil, d’évaluation des risques et de contrôle auprès des collaborateurs.
Le DPO est également chargé de superviser le registre des traitement, autre nouvelle obligation du Règlement européen, pour les entreprises et leurs sous-traitants. Ce registre doit répertorier des informations précises relatives aux traitements mis en oeuvre dans l’entreprise : coordonnées du responsable de traitement, finalités, destinataires des données, durée de conservation, hébergement et transferts éventuels...
Car les entreprises doivent prouver qu’elles respectent la réglementation : c’est le principe de responsabilité ou "accountability".
Comment ?
En adoptant des règles internes et des mesures appropriées pour que chaque traitement soit effectué dans le respect du Règlement européen, et en étant capable de le démontrer à l’Autorité de contrôle : documentation, audits, analyses de risque...
Tout doit être fait pour protéger les données personnelles des clients et employés ! C’est un autre point très important du Règlement : la sécurité ! La nouveauté est qu’en cas de fuite ou de faille de sécurité, l’entité a 72h pour avertir l’Autorité de contrôle compétente et informer les personnes concernées en cas de risque élevé d’atteinte à leur vie privée.
Ce délai étant très court, les sous-traitants, quant à eux, doivent être réactifs et notifier à leur client toute violation de données le plus tôt possible ! La sécurité des données monte donc d’un cran avec le Règlement européen, et doit être garantie dans tous les services d’une organisation, quelle qu’elle soit, ainsi que chez ses sous-traitants.
Et ce n’est pas la seule nouveauté pour les sous-traitants, qui doivent désormais assister et conseiller leurs clients dans leur conformité :
Et, comme pour les responsables de traitement, leur responsabilité est engagée et le risque de sanctions bien présent.
Une dernière chose : en principe, les transferts de données à caractère personnel hors du territoire de l’Union européenne sont interdits à moins que le pays ou le destinataire n'assurent un niveau de protection suffisant. L’investissement de tous est donc indispensable afin de respecter ces nouvelles obligations !
Le DPO est là pour vous aider !