Il est important de souligner ici que, bien que nous ayons vérifié chacune de nos sources et que nous soyons sûrs de notre interprétation, cet article ne constitue en rien un avis juridique.
L’arrivée en Mai prochain du GDPR soulève encore de nombreuses questions. Nous avons évoqué dans notre article précédent sur le sujet quelles étaient les résponsabilités de chacun lors du traitement des données.
Nous parlerons ici de la différence entre un responsable du traitement des données et un délégué à la protection des données :
- Responsable du traitement des données
La meilleure façon de commencer est de répertorier tous les traitements de vos données et d’identifier tous les systèmes internes et externes touchant ces données personnelles – de Google Analytics en passant par votre conseiller fiscal. Cela devrait vous fournir une liste de responsables du traitement des données.
En tant que responsable du traitement des données, vous êtes en charge de nommer des délégués à la protection des données pouvant garantir que des mesures suffisantes ont été mises en œuvre pour répondre aux exigences du GDPR.
Voici une liste de quelques questions à poser à un responsable du traitement des données :
- Où sont stockées les données ?
- Quelle est la circulation de ces données ?
- Qui peut accéder aux données ?
- Avez-vous une personne en charge de la protection des données ?
- Allez-vous me prévenir si vous transférez des données au sein d’une autre entité ou dans un autre pays ?
- Avez-vous déjà subi une fuite de vos données?
- Quel genre de contrôles avez-vous mis en place afin de réduire les risques?
- Avez-vous des notifications mises en place en cas de fuite des données ?
- Pouvez-vous me fournir une description des mesures de sécurité mises en place ?
- Comment procéderez-vous à la suppression de mes données une fois que notre contrat prendra fin ?
Une fois que vous aurez obtenu des réponses satisfaisantes à ces questions, vous aurez alors besoin d’un contrat écrit. Il devra spécifier le genre d’action autorisée à entreprendre en votre nom et s’engager à être en conformité avec le GDPR. Ce type de contrat est connu sous le nom d’accord du traitement de données.
N’hésitez pas à (re)vérifier vos contrats déjà existants pour vous assurer qu’ils couvrent bien ces deux points et que vous connaissez les réponses aux questions ci-dessus (et en avez la preuve écrite). Dans le cas contraire, il est temps de les revoir.
- Délégué à la protection des données
En tant que délégué à la protection des données, vous devez vous poser les questions ci-dessous :
- Est-ce que la sécurité des l’informations est bien mise en place ?
- Est-ce que je dispose d’un registre de toutes les activités du traitement des données ?
- Est-ce que je dispose d’un processus pour informer le responsable du traitement des données de toute violation ?
- Ai-je nommé un délégué à la protection des données (si nécessaire) ?
- Je dois coopérer avec les autorités compétentes en cas de besoin.
- Me conformer aux règles de transfert de données de l’Union Européennes et aux droits des personnes concernées.
- Être en mesure de supprimer ou de renvoyer toutes les données personnelles à la demande du responsable du traitement des données.
- Avertir le responsable du traitement des données si la nature de la demande de sa requête n’est pas conforme avec le GDPR.
Cette liste n’est pas exhaustive – rendez-vous sur le site de la CNIL pour plus d’informations. N’hésitez pas à consulter nos autres articles sur le sujet ici. Notre équipe reste également à votre disposition pour toute question au 01 70 99 35 52 ou via notre formulaire.