Le règlement général relatif à la protection des données (RGPD) est entré en vigueur le 24 Mai 2016. Les entreprises et organisations ont jusqu’au 25 Mai 2018 pour se conformer à la nouvelle réglementation.
Préparez vous en 13 étapes.
1) Conscientisation
Informez les personnes clés et les décideurs quant aux changements à venir. Ils doivent évaluer les conséquences que le RGPD aura sur l’entreprise ou l’organisation.
Veillez à ce que les personnes clés et les décideurs de votre entreprise ou organisation soient informé(e)s de la nouvelle réglementation. Ils doivent en évaluer les conséquences et désigner les domaines qui peuvent aujourd’hui être problématiques à la lumière du RGPD. Utilisez donc en priorité la période de transition de deux ans pour informer les collaborateurs des changements à venir. Ne le reportez pas jusqu’à la dernière minute.
2) Registre de données
Faites l’inventaire des données à caractère personnel que vous conservez, notez quelle est leur origine et les personnes avec lesquelles vous les avez partagées. Enregistrez vos traitements. Vous devez éventuellement organiser un audit d’information à cet effet.
Ceci s’applique éventuellement à toute l’entreprise ou uniquement à certaines sections déterminées. Le RGPD introduit quelques nouveaux droits, destinés spécifiquement au monde des réseaux. Lorsque votre entreprise conserve par exemple des données à caractère personnel inexactes et les a partagées avec d’autres organisations, vous devrez informer ces dernières de l’inexactitude afin qu’elles puissent apporter les corrections dans leur propre registre. Cette obligation de documentation contribue en outre au respect de l’exigence de responsabilité contenue dans le RGPD. Selon ce principe, une entreprise ou une organisation doit prouver qu’elle agit conformément aux principes de protection des données.
3) Communication
Évaluez votre déclaration de confidentialité existante et prévoyez les modifications nécessaires à y apporter à la lumière du RGPD.
Si votre entreprise ou organisation traite déjà des données à caractère personnel, vous devez fournir certaines informations aux personnes concernées, comme l’identité du sous-traitant et la manière dont il utilisera les données. Ces informations sont généralement communiquées sous la forme d’une déclaration de confidentialité.
Le RGPD requiert que cette déclaration de confidentialité soit complétée par de nouveaux types d’information. Il faudra ainsi désormais communiquer le fondement légal du traitement de données et les délais pendant lesquels vous conserverez les informations, préciser si vous échangez les données en dehors de l’Union européenne et
prévoir la possibilité pour la personne concernée de porter plainte auprès de la Commission vie privée si elle estime que ses données à caractère personnel sont traitées à tort. Le RGPD requiert que ces informations soient communiquées de manière concise, dans une langue compréhensible et claire.
4) Droits de la personne concernée
Vérifiez si les procédures actuelles dans votre entreprise ou organisation prévoient tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie électronique.
Le RGPD prévoit notamment les droits suivants pour la personne concernée :
- information et accès aux données à caractère personnel
- rectification et suppression des données
- objection à l’encontre de pratiques de marketing direct
- objection à l’encontre de prises de décision automatisées et de profilage
- portabilité des données
De manière plus générale, le RGPD offre à la personne concernée les mêmes droits que l’actuelle loi vie privée belge, moyennant quelques améliorations considérables. Si votre entreprise ou organisation est déjà suffisamment équipée pour prévoir ces droits individuels, la transition vers le RGPD se fera relativement facilement. Le moment est bien choisi pour évaluer vos procédures existantes et pour vérifier la manière dont vous procéderez lorsque quelqu’un voudra exercer son droit.
Qui prendra la décision ? Les systèmes sont-ils conçus pour y répondre ?
Le droit de portabilité des données est une nouveauté. Il s’agit d’une forme améliorée de l’accès où la personne concernée a le droit d’obtenir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible électroniquement. La plupart des entreprises et organisations le font déjà, mais si vous utilisez encore des impressions papier ou une forme électronique inhabituelle, c’est de nouveau le bon moment pour revoir votre copie.
5) Demande d’accès
Mettez à jour vos procédures d’accès existantes et réfléchissez à la manière dont vous traiterez désormais les demandes d’accès eu égard aux nouveaux délais du RGPD.
Le RGPD prévoit de nouvelles règles qui déterminent la manière d’agir à l’égard de demandes d’accès. Dans la plupart des cas, il faudra donner suite à la demande d’accès dans les 30 jours (contre 45 jours actuellement), et ce gratuitement. Des demandes manifestement non fondées ou excessives peuvent être facturées ou refusées. Si votre entreprise ou organisation veut être en mesure de refuser des demandes d’accès, vous devez adapter la politique et les procédures en conséquence.
Vous devez donner à la personne concernée qui demande l’accès certaines informations complémentaires comme les délais de conservation des informations et le droit de faire rectifier des données inexactes. Si votre entreprise ou organisation traite un grand nombre de demandes d’accès, les modifications prévues par le RGPD auront un impact considérable. Il faut qu’au niveau logistique, toutes les demandes puissent être traitées dans le délai prévu et que la personne concernée reçoive les informations nécessaires.
6) Fondement légal pour le traitement des données à caractère personnel
Documentez les différents types de traitements de données que vous effectuez et identifiez le fondement légal pour chacun d’entre eux.
De nombreuses entreprises et organisations n’ont peut-être pas défini à l’époque un fondement légal pour les traitements de données qu’elles réalisent. En vertu de la législation actuelle, les conséquences pratiques sont peu nombreuses voire inexistantes. Le RGPD change toutefois la donne car les droits de la personne concernée peuvent différer selon la base légale du traitement de données. L’exemple le plus parlant est le fait que la personne concernée dispose d’un droit renforcé pour demander la suppression de ses données si son consentement était à la base du traitement.
Il est important de préciser dans la déclaration de confidentialité le fondement légal qui a été choisi pour le traitement de données et d’indiquer également ce fondement chaque fois que l’on répond à une demande d’accès. Les fondements légaux du RGPD sont quasiment identiques à ceux de l’actuelle loi vie privée. Vérifiez donc quels traitements de données vous effectuez, déterminez la base légale et documentez vos démarches avec soin.
7) Consentement
Évaluez la manière dont vous demandez, obtenez et enregistrez le consentement et apportez les modifications nécessaires.
Le RGPD mentionne les termes “consentement” et “consentement explicite”. La distinction n’est pas très claire, étant donné que le consentement doit dans les deux cas être libre, spécifique, éclairé et univoque. Le consentement doit également se révéler par une manifestation active de l’accord. En d’autres termes, le consentement ne peut pas être déduit tacitement ou à partir d’une case cochée préalablement ou d’une absence d’action. Si vous comptez sur le consentement de la personne concernée pour traiter ses données, veillez surtout à ce que ce consentement réponde aux exigences du RGPD. Si ce n’est pas encore le cas, modifiez votre mécanisme de consentement ou cherchez une alternative au consentement pour justifier le traitement de données. Notez que le consentement doit être contrôlable et que la personne concernée a généralement davantage de droits lorsque vous comptez sur le consentement comme fondement du traitement de données. Le RGPD précise que le responsable du traitement doit être en mesure de démontrer que le consentement a été donné. Évaluez donc les systèmes actuels qui enregistrent le consentement, afin d’assurer une piste d’audit efficace.
8) Enfants
Développez des systèmes qui vérifient l’âge de la personne concernée et qui demandent le consentement au(x) parent(s) ou au(x) tuteur(s) pour le traitement de données de mineurs.
Pour la première fois, le RGPD offrira une protection spéciale aux données à caractère personnel d’enfants, en particulier dans le contexte de services commerciaux par Internet tels que les réseaux sociaux. En bref, si votre entreprise ou organisation collecte des données d’enfants âgés de moins de 16 ans, un parent ou un tuteur devra donner son consentement pour que le traitement de données soit licite. Cela peut entraîner des conséquences considérables si l’objet de votre entreprise ou organisation est de proposer des services à des enfants et, en tant que telle, collecte leurs données à caractère personnel. Retenez que le consentement doit être contrôlable et que le cas échéant, la déclaration de confidentialité doit être rédigée en des termes compréhensibles pour les enfants.
9) Fuites de données
Prévoyez des procédures adéquates pour détecter, rapporter et analyser des fuites de données à caractère personnel.
Évaluez pour ce faire les différents types de données à caractère personnel que vous conservez et documentez celles qui relèveraient de l’obligation de déclaration si une fuite de données survenait. Dans certains cas, vous devez informer directement la personne concernée faisant l’objet de la fuite de données, par exemple lorsque la fuite peut donner lieu à des pertes financières personnelles. Toutes les fuites de données ne devront pas être signalées à la Commission vie privée, seules celles pour lesquelles il est probable que la personne concernée subira une quelconque forme de dommages, par exemple suite à un vol d’identité ou à la violation d’une obligation de secret. Notez que le non-respect de l’obligation de déclaration peut donner lieu à une amende, outre l’amende pour la fuite de données elle-même.
10) La protection des données dès la conception et l’analyse d’impact relative à la protection des données
Familiarisez-vous avec les notions de “protection des données dès la conception” et d’ “analyse d’impact relative à la protection des données” et examinez la manière dont vous pouvez mettre en œuvre ces concepts dans le fonctionnement de votre entreprise ou organisation.
Examinez la manière dont vous pouvez mettre en œuvre ces concepts dans le fonctionnement de votre entreprise ou organisation. Ils peuvent être liés à d’autres processus organisationnels tels que la gestion des risques et la gestion des projets. Évaluez d’ores et déjà les situations où il sera nécessaire de réaliser de telles analyses.
Qui s’en chargera ? Qui doit y être associé ? L’analyse se fera-t-elle de manière centrale ou de manière locale ?
Intégrer dès le début la protection des données et, dans ce cadre, réaliser une analyse d’impact font partie des “bonnes pratiques” d’une entreprise ou organisation. Il ne s’agissait auparavant que d’une exigence implicite des principes de protection des données. Le RGPD en fait une exigence légale claire.
11) Délégué à la protection des données
Désignez au besoin un délégué à la protection des données ou une personne qui est responsable du respect des règles de protection des données. Évaluez la place que cette personne occupe au sein de la structure et de la politique de votre entreprise ou organisation.
Le RGPD requiert pour certaines entreprises et organisations qu’elles désignent un délégué à la protection des données, par exemple pour les autorités publiques ou les sous-traitants dont la tâche consiste à observer régulièrement et systématiquement des personnes concernées, ce à grande échelle. Il est important que soit une personne de l’organisation, soit un conseiller externe soit responsable du respect des principes de protection des données et qu’une personne ait les connaissances, l’implication et la compétence de le faire. Vous devez dès lors juger dès à présent si votre entreprise ou organisation a l’obligation de désigner un tel délégué. Dans l’affirmative, évaluez si l’approche actuelle correspond aux exigences du RGPD.
12) Au niveau international
Déterminez de quelle autorité de contrôle vous relevez si votre entreprise ou organisation est active au niveau international.
Le RGPD prévoit un règlement quelque peu complexe pour déterminer quelle autorité de contrôle prend la direction des opérations lors de l’examen d’une plainte à caractère international, par exemple lorsqu’un traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de file est déterminée selon l’endroit où l’entreprise ou l’organisation a son établissement principal ou selon l’établissement où sont prises les décisions relatives aux traitements de données. Pour un siège principal traditionnel, on peut le déterminer assez facilement. Cela se complique dans le cas d’entreprises ou d’organisations complexes, implantées sur plusieurs sites, où les décisions relatives à différentes activités de traitement sont prises à divers endroits. Pour savoir clairement quelle autorité de contrôle est en charge de votre entreprise ou organisation, il est conseillé d’établir à quel endroit votre organisation prend ses décisions les plus importantes quant aux traitements de données. Cela vous permettra de déterminer votre “établissement principal” et donc aussi l’autorité de contrôle compétente.
13) Contrats existants
Évaluez vos contrats existants, principalement avec des sous-traitants, et apportez les changements nécessaires en temps utile.
Le RGPD crée un système intelligent qui établit le rapport entre le responsable du traitement et les sous-traitants. Il détermine même les conditions qui s’appliquent aux activités de sous-traitance. Pour approfondir ces conditions, vous devez évaluer les contrats existants et apporter les modifications nécessaires. Le RGPD souligne l’importance des mesures de sécurité applicables aux banques de données. En cas d’outsourcing, il est également important d’évaluer si les mesures de sécurité qui étaient prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du RGPD
Pour obtenir plus d’informations contactez nous.