Adaptation de l’organisation 45 minutes
La réglementation générale pour la protection des données introduit de nouvelles responsabilités dans l’organisation et oblige l’organisation à assurer certaines activités de traitement, de contrôle et de support.
En premier lieu, l’organisation doit désigner un interlocuteur pour l’autorité de contrôle : le délégué à la protection des données (DPO).
L'autorité de régulation
Le RGPD est l’instrument du comité européen de la protection des données qui surveille, conseille et émet des directives. A priori, l’entreprise n’entre pas en contact avec celui-ci, à moins qu’elle n’ait besoin d’un arbitrage que ne peut rendre l’autorité nationale.
En France, l’autorité en matière de protection des données personnelles sera la CNIL. Nous vous présentons ici ses missions et ses pouvoirs vis-à-vis de l’entreprise.
Le délégué à la protection des données
L’entreprise devra désigner un correspondant et l’identifier auprès de la CNIL si :
- l’entreprise appartient au secteur public
- l’entreprise assure un suivi des personnes à grande échelle
- l’entreprise traite de données sensibles
Voyons d’un peut plus prêt ses fonctions et missions
Le sous-traitant
L’entreprise peut déléguer le traitement des données personnelles à un ou plusieurs sous-traitants. Cependant, un sous-traitant ne peut traiter des données sans autorisation du responsable de traitement.
Le sous-traitant a une obligation de conseil du responsable de traitement.
Les dispositions...
L’entreprise traitant des données personnelles doit pouvoir démontrer qu’elle prend les dispositions adéquates pour assurer la sécurité des données.
- Les dispositions présentées ci-dessous n’ont pas de caractère obligatoire indépendamment du contexte
- Les dispositions prises n’exonèrent pas de la responsabilité en cas de défaillance
Codes de conduite
Il s’agit d’une description des dispositions prises pour assurer le respect du RGPD. Elle est encouragée et le projet de code peut être soumis à la CNIL pour avis. Il intègre une description des mécanismes de contrôle du respect du RGPD et des modalités d’application du RGPD.
Les modalités concernent :
- le traitement loyal et transparent
- les intérêts légitimes dans des contextes spécifiques
- la collecte des données
- la pseudonymisation
- les informations communiquées au public et aux personnes concernées
- l’exercice des droits des personnes concernées
- les mesures et procédures de protection
- les notifications des violations
- le transfert des données à l’international
- les procédures de litige
Le contrôle du respect du code de conduite peut être effectué par un organisme agréé.
Certification
Une certification peut être délivrée à un responsable de traitement ou à un sous-traitant pour une durée de 3 ans et peut être renouvelée par un organisme de certification agréé par la CNIL.
Règles d’entreprise contraignantes
Il s’agit de documents contractuels qui établit les responsabilités des entreprises impliquées (sous-traitants) dans le traitement des données personnelles, notamment en cas de transfert de données hors de l’UE.
Les règles sont soumises à l’approbation de la CNIL.