1. Accueil
  2. Actualités
  3. Le Règlement général sur la protection des données (suite et pas fin)

Le Règlement général sur la protection des données (suite et pas fin)

Ça y est : dès aujourd’hui, dans tous les États membres de l’Union européenne, les dispositions du nouveau Règlement européen sont applicables !

Vous avez certainement déjà cartographié vos traitements, adapté votre politique vie privée, désigné un délégué à la protection des données si vous y êtes obligé et formé votre personnel à votre nouvelle politique de confidentialité. Cependant, ce n’est pas tout ! Le RGDP nécessite un suivi constant. Nous avons listé une série de points pour vous aider à « penser RGPD ».

25052018_gdpr_start_fr_1200x627

1. Compliance

Êtes-vous en mesure de démontrer à tout moment, à l’autorité de contrôle, que vous avez mis en œuvre les moyens nécessaires pour respecter le Règlement ? C’est en tous cas votre obligation en tant que responsable de traitement. Pas de panique, il suffit de prendre l’habitude de documenter toutes les actions et décisions prises par votre entreprise en matière de traitement de données.

Dès lors, votre entreprise doit continuer à s’interroger sur la justification de chaque nouveau traitement de données.

En outre, pour certains traitements qui présentent des risques élevés, votre entreprise doit procéder à une analyse d’impact avant de débuter le traitement, de manière à vérifier que les précautions prises sont suffisantes. L’autorité de contrôle belge recense les cas où cette analyse est obligatoire.

Enfin, en cas de fuite de données, l’incident doit désormais être signalé dans les 72 heures à l’Autorité de protection des données et documenté. Votre entreprise doit donc se préparer pour avoir les bons réflexes si un incident se produit.

2. Changements en matière de sous-traitance

Être sous-traitant n’est plus aussi simple de nos jours ! En effet, contrairement au régime antérieur, le Règlement met la plupart des obligations du responsable de traitement aussi à charge du sous-traitant. Soyez donc prêts à aider votre co-contractant (pour la réalisation d’une analyse d’impact ou donner suite aux demandes formulées par les personnes concernées), à l’avertir si vous estimez que ses instructions sont contraires au RGPD ou encore à subir des audits.

En tant que sous-traitant, vous êtes désormais susceptible de faire l’objet de sanctions propres, si vous n’avez pas respecté le RGPD ou les instructions fournies par le responsable de traitement.

Si, au contraire, vos intervenez en tant que responsable de traitement, régularisez les contrats existants pour y insérer les nouvelles clauses imposées par le RGPD et ne les oubliez pas dans les futurs contrats !

3. Davantage de transparence?

De manière générale, le RGPD renforce les droits existants des personnes concernées, et en octroie de nouveaux. Au vu de la médiatisation autour du RGPD, les personnes concernées vont de plus en plus exercer ces droits. Disposez-vous, au sein de votre entreprise, de procédures internes vous permettant de faire face à ces requêtes ? Si pas, il est grand temps d’en prévoir ! Le délai de réponse, qui était de 45 jours jusqu’ici, est en effet ramené à 30 jours.

 

Conclusion

Le RGPD ne se résume pas à l’accomplissement de quelques formalités, mais au contraire, il vise à changer les comportements au sujet des données à caractère personnel. Il ne faudra donc pas perdre ses dispositions de vue, même si les projecteurs s’en détournent après son entrée en vigueur. Les lourdes sanctions désormais applicables (jusqu’à 20.000.000 EUR ou 4% du chiffre d’affaires mondial de votre groupe) sont là pour rappeler son importance !

 

 

Fanny COTON

fanny-coton

Fanny COTON est une collaboratrice senior du cabinet d’avocat LEXING. Avocate du barreau de Liège depuis 2006, elle est spécialiste en droit de la vie privée. Elle conseille couramment des entreprises et des administrations au sujet de traitements de données à caractère personnel. Elle est l’auteur de nombreux articles dans ce domaine et intervient fréquemment dans des séminaires au sujet du Règlement général sur la protection des données.

 

 

  348