Pourquoi se conformer à la réglementation GDPR d'ici à mai 2018?

Pourquoi se conformer à la réglementation GDPR d'ici à mai 2018?

Le Règlement général sur la protection des données (GDPR) entre en vigueur le 25 mai 2018. Signé le 27 avril 2016, le présent règlement vise à protéger les personnes à propos du traitement de leurs données personnelles et à permettre la libre circulation de ces données.

Le règlement vise à établir un cadre commun sur le traitement des données dans l'ensemble de l'Union européenne. Ainsi, la protection des données et leur tracabilité doivent respecter les mêmes règles d'un pays à l'autre.

"Concrètement, le GDPR s'applique à toute structure, entreprise, organisation à but non lucratif ou entité publique, en Europe ou ailleurs, qui traite des données personnelles - c'est-à-dire toute information permettant d'identifier un individu dans l'Union européenne" explique l'avocat Jacquelin d'Oultremont.

Quelles sont ces obligations?

Certains aspects du GDPR relèvent du bon sens, puisque les données personnelles, par exemple, doivent être traitées légalement, de manière transparente et collectées à des fins spécifiques, explicites et légales. "Cependant, vous devez faire attention à certaines spécificités, telles que le consentement de la personne concernée, qui doit être volontaire. Cela signifie que les cases cochées à l'avance sont interdites sur les sites internet », explique l'avocat d'Oultremont.

Toutes les organisations devront vérifier que leurs processus, contrats et conditions générales de vente suivent le GDPR. Entre autres, ils doivent être en mesure de respecter le droit d'oubli ou le droit à la traçabilité des données. Les organisations doivent être en mesure de démontrer, sur demande, l'efficacité des mesures techniques et organisationnelles mises en place.

Tous devront également réaliser des évaluations d'impact sur la protection des données (DPIA) avant le traitement de données susceptibles de présenter un risque élevé pour les droits et libertés de qui sont concernés.

Dans la pratique, ces audits révéleront la particularité et la gravité du risque encouru, afin de déterminer les mesures appropriées pour se conformer au GDPR. Ces traitements doivent également être signalés aux autorités de contrôle (la Commission pour la protection de la vie privée, en Belgique). Même si des amendes sont prévues en cas de non-respect, l'objectif poursuivi par le règlement est clairement plus constructif que répressif. Pour les autorités publiques, ou dans le cas d'un traitement de données à grande échelle, un délégué à la protection des données (DPD) est obligatoire.

La personne doit être indépendante de la hiérarchie et correctement formée. Sa mission est de conseiller et d'accompagner l'organisation sur le GDPR, de contrôler la conformité et d'agir en tant que point de contact avec les autorités de surveillance. Même si ce n'est pas toujours obligatoire, avoir un DPD est fortement recommandé car il sera la personne clé pour votre conformité.

En outre, les entreprises de plus de 250 salariés ou traitant des données "sensibles" seront tenues de mettre en place un registre des opérations de traitement de données. "Ce seuil de 250 employés a été mis en place pour tenir compte de la situation particulière des associations et des petites et moyennes entreprises."

Comment se conformer au GDPR?

Vous pouvez le faire dans votre structure, puisque l'exigence d'indépendance hiérarchique du DPD lui permet toujours d'être un employé. La personne nommée sera alors responsable du suivi de la conformité. À cet égard, certains cours de formation peuvent l'aider à comprendre l'impact total du GDPR sur votre organisation.

Une autre solution consiste à externaliser ce processus à des organisations telles que des cabinets d'avocats, des pigistes et d'autres structures familières avec le GDPR qui peuvent vous aider à travers les différentes étapes de la conformité.

 

Informations fournies par: