Autres articles
Publié le 29/10/2017
En partenariat avec la société Human4Help (H4H) pour l’ensemble des aspects techniques très significatifs, prérequis déterminants pour parvenir à la mise en conformité réglementaire (audit et cartographie des données traitées, étude d’impact et analyse des risques, sensibilisation des personnels, appréciation de la nécessité et de la proportionnalité des traitements), Cocoon Avocats vous assiste pour vous mettre en conformité avec les nouvelles obligations issues du règlement européen du 27 avril 2016, n°2016/679 et applicable dès le 25 mai 2018.
Compte tenu des sanctions potentielles très dissuasives (jusqu’à 20 millions d’euros ou 4% du CA global pour les fautes les plus graves), le déploiement de nouvelles procédures issues de ces obligations doit être mis en œuvre dès que possible pour que votre société soit « GDPR compliant » en temps voulu !
Les points ci-dessous constituent un guide pratique des étapes que vous allez rencontrer tout au long de votre démarche de mise en conformité :
- Désigner un Responsable du Traitement des données personnelles qui remplacera le CIL (ancienne réglementation), voire un Data Protection Officer (DPO) si les conditions légales de désignation de ce dernier sont remplies (par exemple, traitement de données dites « sensibles » telles que les données de santé ou les sociétés dont les activités conduisent à un suivi régulier et systématique des personnes à grande échelle) ;
- Sous réserve des conditions ci-après, tenir une Registre des Traitements qui remplace les formalités anciennes de déclaration auprès de la CNIL et qui va répertorier l’ensemble des traitements ainsi que leurs caractéristiques. En application de l’article 30.2, le contenu de ce registre doit notamment comprendre : (i) les finalités du traitement dont les catégories des personnes concernées et celles des données collectées, (ii) les catégories de destinataires de ces données, tant pour le passé que pour le futur, (iii) les aspects de transfert vers un pays tiers et (iv) les délais prévus pour l’effacement des données et la description des mesures de sécurité appropriées ; Toutefois, vous êtes dispensé de la tenue d’un tel registre si vous avez moins de 250 salariés et ne rentrez pas dans une des trois exceptions à cette dispense (art 30.5 : risque pour les droits et libertés des personnes concernées, données dites sensibles, traitement non occasionnel) ;
- La mise en place de procédures adaptées et automatisées en vue d’auditer régulièrement le traitement des données pour être en mesure d’apporter tout correctif nécessaire, complétées de la formalisation contractuelle des nouvelles relations entre vous et vos sous-traitants (éditeurs SaaS, hébergeurs, etc.) et autres partenaires techniques ;
- Gérer dans le futur et tout au long de son cycle de vie le traitement des données, qui doit rester licite, proportionnel et sécurisé : L’article 25 du règlement pose ainsi deux nouveaux concepts : le « Privacy by Design » (protection dès la conception) qui vous oblige à anticiper, dès le lancement d’un de vos produits ou services, toutes les questions liées aux données personnelles (nature et quantité de ces données, durée de conservation, relations avec les personnes concernées jusqu’à l’effacement de leurs données) , et le « Privacy by Default » (protection par défaut) qui vous oblige à prendre toutes les mesures nécessaires pour que, par défaut, (i) seules les données nécessaires et pertinentes à la finalité du traitement soit traitées, (ii) seules les personnes qui en ont raisonnablement besoin puissent y avoir accès et (iii) que les outils informatiques ms en place permettent une suppression totale et définitive de ces données si besoin est ;
Gérer la relation en continu, tant avec les personnes physiques et mettre en place les procédures permettant de répondre à toutes les requêtes qu’elles sont en droit de présenter au regard des nouveaux droits qui leur sont donnés par le règlement : droit de copie, droit à la portabilité, droit à la limitation du traitement et surtout droit à l’oubli, qu’avec la CNIL en s’assurant que vous êtes toujours en mesure de prouver votre parfaite conformité à vos obligations légales (traçabilité et transparence), ce qu’on appelle le principe « d’accountability ».