06.60.24.15.45

Comment se mettre en conformité

Créer un registre des traitements Responsable de Traitement (RT) et si besoin Sous-Traitant (ST)

  1. Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
  2. Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
    • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données;
    • les catégories de données traitées;
    • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées;
    • combien de temps vous les conservez;
    • comment elles sont sécurisées

Choisir une durée de conservation des données

  1. Conservation en base active;
  2. Archivage intermédiaire; 
  3. Archivage définitif;
  4. Les outils pour aider à définir les durées;
    • Dans le cadre de sa mission d’accompagnement des professionnels, la CNIL a  élaboré des outils d’aide à l’identification des durées applicables à la conservation des données, ainsi qu’un guide pour faciliter la mise en œuvre de ce principe.
    • Ces outils sont destinés à tout professionnel, quel que soit son secteur (public ou privé) et quelle que soit la taille de sa structure.
    • Guide de la CNIL

La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD

  • Le consentement : la personne a consenti au traitement de ses données;
  • Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée;
  • L’obligation légale : le traitement est imposé par des textes légaux;
  • la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la PC;
  • La mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
  • l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers…

Garantir la sécurité des données

  • Les bonnes questions à se poser : 
  • Quels pourraient être les impacts sur les personnes concernées en cas :
    •    d’accès illégitime ?
    •    de modification non désirée ?
    •    de disparition ?
  • Est-ce grave ?
  • Comment chacun de ces scénarios pourrait-il arriver ?
  • Est-ce vraisemblable ?
  • Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ? 

Travailler avec un sous-traitant

  • Déterminer le statut des acteurs impliqués
  • Établir un contrat clair;
  • Documenter l’activité de sous-traitance;
  • Proposer des outils respectueux des données personnelles;
  • Le Sous-Traitant (ST) doit aider le Responsable de Traitement (RT) à répondre aux demandes d’exercices des droits des personnes;
  • Le ST doit garantir la sécurité des données que le RT lui a demandé d’utiliser pour lui…

Transférer des données hors de l’UE

  • Les transferts hors UE peuvent être fondés sur :
    1. une décision d’adéquation de la Commission européenne;
    2. Des CCT ou des BCR;
    3. Des CCT adoptées par une autorité de contrôle et approuvées par la Commission européenne;
    4. un code de conduite approuvé ;
    5. un mécanisme de certification approuvé;
    6. un arrangement administratif ou un texte juridiquement contraignant et exécutoire…