Après avoir jonglé avec la Loi canadienne anti-pourriel, nous devons maintenant nous pencher sur le Règlement général sur la protection des données (RGPD). Ce nouveau cadre réglementaire visant à étendre les obligations auxquelles sont soumises les organisations qui traitent des données personnelles et à renforcer le contrôle des citoyens de l’Union européenne sur la collecte et l’utilisation de leurs renseignements personnels entrera en vigueur le 25 mai 2018. Le RGPD s’applique à toute organisation qui traite des données personnelles de résidents ou de citoyens de l’UE. Si vous êtes dans cette situation, voici les étapes pour vous assurer d’être en conformité.
1. Revoir les pratiques existantes
La première étape pour se mettre en conformité avec le RGPD consiste à comprendre comment les données à caractère personnel sont stockées, traitées, partagées et utilisées au sein de l’entreprise. Identifiez les pratiques de traitement de données personnelles en place, qui en sont les responsables, les niveaux de sécurité actuels et les changements nécessaires. Souvenez-vous que les obligations du RGPD ne s’appliquent pas uniquement à votre entreprise, mais qu’elles s’étendent également aux fournisseurs qui traitent des données à caractère personnel en votre nom.
2. Tenir un registre des traitements
L’entreprise doit être en mesure de prouver à tout moment sa conformité au RGPD. Pour ce faire, vous avez l’obligation de tenir un registre des traitements des données. Ceci remplace la déclaration obligatoire à la CNIL. Dans ce registre, sont consignés les traitements correspondants à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données. L’entreprise doit garantir, à tout moment, que les processus en place sont conformes, sécurisés et garantissent la confidentialité des données.
Dès le moment, où un traitement à risque pour la vie privée est détecté, l’entreprise doit mener une étude d’impact sur la vie privée. Ces études d’impact doivent également être documentées.
3. Désigner un délégué à la protection des données
Sa nomination n’est obligatoire que pour les organismes du secteur public et les sociétés traitant des données sensibles et/ou à grande échelle, mais son recours est fortement recommandé. Cette personne doit être associée à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l’autorité de contrôle.
Le délégué pourra également être responsable de notifier la CNIL ainsi que les personnes concernées en cas de violation de la vie privée, sous un maximum de 72h suivant la violation.
4. Appliquer les principes de privacy by design et privacy by default
Le principe de privacy by design vise la prise en compte de la notion du respect de la vie privée dès la conception du produit, service ou application.
Le principe de privacy by default, quant à lui, dicte que dès la mise en marché de tout nouveau produit, service ou application, l’entreprise doit garantir par défaut le plus haut niveau possible de protection des données. De plus, l’entreprise doit chercher à minimiser la collecte et le traitement de données personnelles au strict nécessaire au fonctionnement du produit, service ou application.
5. Assurer la transparence
Les utilisateurs doivent systématiquement pouvoir donner leur consentement ou refuser le traitement des données. Ils doivent également être informés de façon claire et intelligible de l’utilisation qui sera faites de leurs données. L’entreprise devra être capable de prouver à tout moment le consentement d’une personne. Il faut donc s’assurer d’expliquer clairement dans les mentions d’information quelles données sont collectées, la finalité du traitement, la durée de conservation des données et les conséquences pour la personne d’un refus.
6. Permettre la portabilité et la destruction des données
Le droit à la portabilité et le droit à l’oubli offrent la possibilité aux utilisateurs de disposer de leurs données comme ils le souhaitent, soit en demandant à les obtenir afin de les transmettre à une entreprise tierce ou de demander leur destruction.
7. Sensibiliser et former les collaborateurs
Tout collaborateur susceptible de manipuler des données doit être au fait des bonnes pratiques pour garantir leur protection et leur confidentialité. Assurez-vous de former toutes les personnes concernées au sein de l’entreprise.
Téléchargez notre checklist de conformité dès maintenant !
Pour de plus amples informations, référez-vous au texte complet du Règlement général sur la protection des données (RGPD).