Comment se mettre en conformité
Créer un registre des traitements Responsable de Traitement (RT) et si besoin Sous-Traitant (ST)
- Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
- Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
- les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données;
- les catégories de données traitées;
- à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées;
- combien de temps vous les conservez;
- comment elles sont sécurisées…
Choisir une durée de conservation des données
- Conservation en base active;
- Archivage intermédiaire;
- Archivage définitif;
- Les outils pour aider à définir les durées;
- Dans le cadre de sa mission d’accompagnement des professionnels, la CNIL a élaboré des outils d’aide à l’identification des durées applicables à la conservation des données, ainsi qu’un guide pour faciliter la mise en œuvre de ce principe.
- Ces outils sont destinés à tout professionnel, quel que soit son secteur (public ou privé) et quelle que soit la taille de sa structure.
- Guide de la CNIL
La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD
- Le consentement : la personne a consenti au traitement de ses données;
- Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée;
- L’obligation légale : le traitement est imposé par des textes légaux;
- la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la PC;
- La mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
- l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers…
Garantir la sécurité des données
- Les bonnes questions à se poser :
- Quels pourraient être les impacts sur les personnes concernées en cas :
- d’accès illégitime ?
- de modification non désirée ?
- de disparition ?
- Est-ce grave ?
- Comment chacun de ces scénarios pourrait-il arriver ?
- Est-ce vraisemblable ?
- Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ?
Travailler avec un sous-traitant
- Déterminer le statut des acteurs impliqués
- Établir un contrat clair;
- Documenter l’activité de sous-traitance;
- Proposer des outils respectueux des données personnelles;
- Le Sous-Traitant (ST) doit aider le Responsable de Traitement (RT) à répondre aux demandes d’exercices des droits des personnes;
- Le ST doit garantir la sécurité des données que le RT lui a demandé d’utiliser pour lui…
Transférer des données hors de l’UE
- Les transferts hors UE peuvent être fondés sur :
- une décision d’adéquation de la Commission européenne;
- Des CCT ou des BCR;
- Des CCT adoptées par une autorité de contrôle et approuvées par la Commission européenne;
- un code de conduite approuvé ;
- un mécanisme de certification approuvé;
- un arrangement administratif ou un texte juridiquement contraignant et exécutoire…