LE B-A BA DU RGPD

en 12 post-it

RGPD: Tous concernés

Dès lors que notre activité professionnelle nous amène à collecter, à manipuler, à stocker ou diffuser des données permettant d'identifier des personnes, nous sommes responsable de traitement au sens du RGPD

La responsabilité

Le responsable de traitement doit garantir aux personnes concernées que ces données sont collectées et utilisées conformément à la règlementation et/ou à leur volonté dans le respect de leur droits et libertés.

Les obligations:

Mettre en oeuvre les moyens et l'organisation nécessaires pour assurer la sécurité physique et logique des données personnelles.

S'assurer que les traitements de données personnelles sont licites.

La CNIL

La CNIL (Commission nationale informatique et libertés) est le régulateur français en charge de l'information de la régulation et du contrôle de l'application de la règlementation .

La CNIL peut prononcer des sanctions administratives lourdes en cas de non respect.

Les Sous-Traitants

Les mêmes obligations pèsent sur l'organisation quand le traitement de données personnelles est sous-traité.

(Cloud Computing, externalisation de fonctions comptables, marketing, sociales...etc.)

Le RGPD impose à chaque partenaire des obligations spécifiques

Le DPO ou DPD

Dans certains cas définis par la règlementation l'organisation doit désigner un Délégué à la Protection des Données qui a en charge d'assister l'organisation dans le respect du RGP,D de participer aux opérations d'évaluation des risques, d'assurer la tenue des registres prévus par le RGPD et d'être le point de contact avec la CNIL

Le Registre des traitements

L'organisation doit identifier l'ensemble des traitements de données personnelles qu'elle met en oeuvre. Pour chacun d'entre eux, elle établit une fiche qui décrit les conditions de réalisation de ce traitement.

L'ensemble des fiches est regroupé dans le registre des traitements.

Le sous-traitant doit tenir à jour un registre des traitements réalisés en sous-traitance.

Les Risques

Le RGPD fonde les obligations des organisations sur les risques encourus par les personnes au sens l'atteinte à leurs droits ou à leurs libertés. Ainsi il convient d'évaluer ces risques afin d'adapter les mesures de protection les plus pertinentes

L'analyse d'impacts

Tout traitement présentant des risques élevés au sens des droits et des libertés des personnes doit faire l'objet d'une Analyse d'impacts. Cette analyse est réalisée selon une méthodologie spécifique et donne lieu à la définition des mesures appropriées.

L'information des personnes

Les personnes concernées par un traitement de données personnelles doivent recevoir en préalable une information sur la finalité et la nature du traitement ainsi que sur leur droits spécifiques relatifs à ces données et à la mise en oeuvre de ce traitement

L'exercice des droits

L'organisation doit mettre en oeuvre un processus permettant de satisfaire aux demandes d'exercice des droits (accès, rectification, suppression, limitation du traitement...)et de garantir aux personnes concernées une réponse appropriée à leur demande.

Failles de sécurité

L'organisation doit mettre en oeuvre une surveillance appropriée afin de détecter au plus tôt les violations des données personnelles d'en évaluer la gravité et de mettre en place les mesures immédiates et correctives appropriées.

Cette activité doit donner lieu à une traçabilité appropriée.

© 2023 Edité par OSIANE CONCEPT

Mentions Légales