Le traitement et son support au quotidien 30 minutes
La réglementation générale pour la protection des données oblige le responsable de traitement à garder des traces de l’activité et l’organisation à mettre en place les moyens de répondre aux demandes des personnes concernées et à celle de l’autorité de contrôle.
Enregistrements et traces
Un registre des activités de traitement est maintenu ( une dispense est accordée pour les entreprises de moins de 250 employés et si les traitements ne comportent pas de risques).
L’enregistrement de traces est susceptible d’aider à l’analyse de défaillance et à la démonstration du bon déroulement des opérations de sécurisation.
A noter que si la finalité de traitement n’impose pas ou plus l’identification des personnes concernées, la conservation des données d’identification n’est pas obligatoire pour satisfaire le RGPD.
Transparence envers les personnes
Le responsable de traitement est tenu de répondre aux demandes des personnes concernées (sauf s’il peut démontrer l’impossibilité) et communiquer sur les dispositions prises sous le délais d’un mois et ce, gratuitement (sauf dans le cas de demande excessive).
Il doit notifier les destinataires (à qui les données ont été communiquées) des demandes de rectification, limitation ou effacement.
Le transfert de données
Le RGPD s’applique lors du transfert de données vers un pays tiers et lors du transfert des mêmes données depuis le pays tiers.
Le transfert ne nécessite pas d’autorisation spécifique si la commission a décidé que ce pays assurait la protection adéquate.
Hors des pays « approuvés », le transfert nécessite des garanties (par exemple des règles d’entreprise contraignantes qui doivent être approuvée par la CNIL).
Des dérogations sont possibles (accord explicite des personnes, nécessité liée à l’exécussion d’un contrat,…).
Une autorité d’un pays tiers ne peut exiger un transfert de données que si la décision est fondée sur un accord international. A ce titre, la commission et la CNIL coopèrent avec les pays tiers et les organismes internationaux.
Les recours des personnes
Les personnes concernées par les traitements de leur données personnelles ont un droit de recours auprès de la CNIL et également à l’encontre de la CNIL, il ont droit de recours contre le responsable de traitement.
Le RGPD introduit la possibilité d’un recours collectif.
A noter que la personne à un droit de réparation qui est porté intégralement par le responsable de traitement. Après réparation totale, celui-ci peut se retourner vers les co-responsables et les sous-traitants.
En termes de sanctions, celles-ci peuvent aller jusqu’à 4% du chiffre d’affaire mondial de l’entreprise.