10 points pour partir du bon pied avec le RGPD

10 points pour partir du bon pied avec le RGPD

Préparez-vous dès maintenant à l’entrée en vigueur du Règlement européen sur la Protection des Données (RGPD). Pour prendre un bon départ, parcourez les dix points suivants.

Le Règlement européen sur la Protection des Données concerne énormément d’entreprises. Êtes-vous prêt pour ces changements ?

La promulgation de ce Règlement Général sur la Protection des Données par l’UE remonte à mai 2016. Nous savons d’ores et déjà qu’à son entrée en vigueur en mai 2018, après deux ans de période transitoire, ce nouveau règlement imposera de nouvelles exigences opérationnelles aux entreprises traitant des données personnelles.

Pratiquement toutes sont concernées. La définition de « données personnelles » est, en effet, extrêmement vaste. À quelques jours ouvrables de l’entrée en vigueur du nouveau règlement, nous avons trouvé judicieux de compiler dix points pour vous aider à vous y préparer dès aujourd’hui.

1. Prouvez que vous respectez le règlement

Le nouveau règlement impose au responsable d’un traitement d’informations personnelles d’être capable de prouver qu’il traite ces données de manière appropriée.

En pratique, vous devez donc tenir un registre de toutes les opérations de traitement des données dont vous êtes responsable afin de prouver que vous n’enfreignez pas le règlement.

2. Assurez-vous d’avoir obtenu le consentement

Si le traitement de données personnelles se fonde sur le consentement d’une personne, vous devez être en mesure de prouver qu’elle vous a bel et bien donné ce consentement.

Les exigences en matière d’obtention du consentement seront, en outre, plus strictes à l’avenir :

il doit être fourni clairement sous forme d’une déclaration écrite, électronique ou verbale. Il doit attester que la personne a déclaré volontairement, individuellement, consciemment et explicitement accepter l’utilisation de ses données personnelles. En pratique, cela consiste, par exemple, à cocher une case afin de donner son consentement.

3. Faire appliquer le droit à l’oubli

Un nouvel élément introduit par ce règlement est le droit à l’oubli de la personne enregistrée. Il s’agit, en pratique, du droit à faire supprimer ses données personnelles de vos bases de données.

Une telle situation peut survenir quand la personne retire le consentement à l’utilisation de ses données personnelles qu’elle avait donné antérieurement. Vous n’êtes cependant aucunement obligé de supprimer ces données si leur utilisation s’appuie sur un fondement juridique.

Si vous vous voyez contraint de supprimer des données personnelles, vous devrez en informer toutes les entités qui ont reçu ou publié ces données, et ce, afin de vous assurer que tous les liens, duplicatas et copies du contenu ont également été supprimés.

4. Faire appliquer le droit à la portabilité des données

Toute personne a actuellement le droit de recevoir ses données dans un format lisible par un ordinateur et de les faire transférer à un autre responsable de traitement.

Ce droit s’applique aussi aux données personnelles qu’une personne vous a fournies par le biais de son consentement ou d’un accord. Cette obligation ne vous contraint cependant pas à approuver ou à maintenir des systèmes de traitement de données techniquement compatibles.

5. L’interdiction du profilage vous concerne peut-être

Toute personne a le droit de ne pas devenir un sujet de décision basée sur un traitement automatique des données qui aurait sur elle un effet juridique significatif ou d’autre nature. En d’autres termes, vous ne pouvez donc pas prendre de décision importante qui affecterait une personne sur la base d’un traitement automatique de données.

Une exception à cette « interdiction de profilage » existe toutefois quand la décision est nécessaire à l’exécution d’un contrat entre la personne et votre entreprise. Vous devez vous assurer que vos modèles de profilage et de prise de décision sont conformes à la législation et que les changements nécessaires y ont été apportés.

Un exemple fréquent d’exception à cette interdiction de profilage est la prise de décision en matière de crédit. Ce genre de décisions est, en effet, souvent basé sur des systèmes de classification automatiques et sur des recommandations de décision.

6. Notifiez les failles de votre système de sécurité des données

À l’avenir, vous n’aurez d’autre choix que d’informer les autorités et les personnes enregistrées de toute faille de sécurité. Pensez, par exemple, à des violations des droits et libertés des individus. Dans ce cas, vous devrez prendre plusieurs mesures :

vous devrez informer les autorités de la faille dans un délai de 72 heures. Vous devez informer toutes les personnes concernées par la faille dès qu’elle est susceptible de présenter un risque de sécurité majeur pour leurs droits et libertés.

Afin de respecter les obligations qui vous incombent, vous devrez rédiger des procédures et instructions internes afin de garantir une procédure efficace et correcte.

7. Donnez des informations sur la manière dont vous traitez les données

Les entreprises européennes n’ont jamais collecté autant de données personnelles qu’aujourd’hui. Afin de respecter le règlement européen, vous devez désormais fournir de plus amples informations sur le traitement des données que par le passé.

Vous devez notamment mentionner la durée de conservation des données personnelles. Si vous n’en avez pas la possibilité, vous devrez fournir des informations sur tous les critères utilisés pour déterminer la durée de conservation.

Concrètement, vous devrez mettre à jour le registre et les documents relatifs à la sécurité des données et réfléchir à la manière dont les personnes enregistrées seront informées en pratique.

8. Le rôle du nouveau délégué à la protection des données

En raison de l’attention croissante accordée à la protection des données, vous devrez peut-être désigner un délégué à la protection des données chargé du traitement des données personnelles. Les organisations qui devront se conformer à cette obligation sont celles qui pratiquent un vaste suivi régulier et systématique des personnes ou dont les activités principales relèvent de ce type de suivi. Dans cette optique, nous vous recommandons d’examiner si l’obligation de désignation d’un délégué à la protection des données s’applique dans votre cas.

9. L’externalisation du traitement des données personnelles implique que vous preniez des mesures de protection

Si vous avez externalisé ne serait-ce que la moindre partie du traitement des données personnelles à une entité tierce et si cette entité traite ces données personnelles pour votre compte, vous devrez prendre plusieurs mesures :

vous devez vous assurer que les mesures de protection techniques et organisationnelles répondent aux exigences du règlement. Vous devez veiller à la protection des droits des personnes enregistrées.

Concrètement, vous devez identifier les situations dans lesquelles l’externalisation se justifie et vous assurer que tous les contrats ont été rédigés correctement. Le stockage de données dans le « cloud » est considéré comme une forme d’externalisation, même si le fournisseur ne traite pas activement les données personnelles.

10. Toute violation peut se solder par une forte amende

Point important à noter : outre l’avertissement, vous êtes susceptible d’écoper d’une amende salée pour avoir violé le règlement sur la protection des données. Elle peut s’élever à 20 millions d’euros maximum ou à 4 pour cent du chiffre d’affaires total de votre entreprise.

 

 

  1. Demonstrate that you follow the regulations

The new regulation requires that the keeper of the personal information register is able to demonstrate that they handle personal data in the required manner.

In practice, this means that you have to keep a register of the data processing operations that are under your responsibility in order to prove that they are in accordance with the regulations.

 

  1. Make sure you have the consent

If the handling of personal data is based on the consent of a person, then you must be able to demonstrate that such consent has been given.

In addition, the requirements for consent will become stricter in the future:

Consent must be given clearly in a written, electronic or spoken statement The consent must show that the persona has voluntary, individualized, conscious and explicit expressed a wish that they accept the use of their personal data. Typically that would be by clicking a check box to give the consent

 

  1. Enforce the right to be forgotten

A new topic that will be introduced with the regulation is the registered person’s right to be forgotten. In practice that means the right to have their data removed from your databases.

This kind of situation can occur when the person withdraw the consent they have already given for you to use their personal data. However, if the use of personal data is on some other legal basis, there is no obligation to remove the data.

If you have an obligation to remove data, you must inform all entities that have received or published the data. This is to ensure that all the links, duplicates and copies related to the material are also removed.

 

  1. Enforce the right to move data

Currently, anyone have the right to receive their own data in a machine-readable format and transfer them to another register keeper.

This right also applies to personal data that a person has supplied to you trough consent or an agreement. This obligation does not, however, obligate you to approve or maintain data processing systems that are technically compatible.

 

  1. Ban of profiling may affect you

Anyone have the right to not become a subject of decision based on automatic data processing that would have a judicial or otherwise significant effect on them. In other words this means that you cannot make important decision that affect a person based on an automatic data process.

An exception to this “profiling ban” would be when the decision is necessary for completing a contract between a person and your company. You need to ensure that your profiling and decision-making models comply with the law and that any necessary changes are made.

A common example of exception to profiling ban is when making credit decisions. Those decisions are often based on automated classification systems and decision recommendations.

 

  1. Inform of breaches in your data security

In the future, you will be obliged to inform the authorities and registered people of any data security breaches. This includes situations where any individual’s rights and freedoms are infringed. In case these situations occur, there are a couple of activities you must do:

You must notify the authorities within 72 hours of the breach. You must inform all affected persons of the breach as soon as the security is likely to put their rights and freedoms at a significant risk

In order to meet these obligations it is important that you draw up internal instructions and procedures to ensure an efficient and correct process.

 

  1. Inform about your data process

Companies across the world are now collecting more personal data than ever before. In order to meet the EU regulation in the future, you must give more information about the data processing that what has been required earlier.

What this means for you is that you have to state the storage time for personal data. Or, if that is not possible, you have to inform about the criteria used to determine the storage time.

In practice, this means, for example, updating the register and data security documents, as well as thinking about how informing the registered people is going to be carried out in practice.

 

  1. The role of the new data protection officer

With the increasing focus on data protection, you might have to appoint a data protection officer to handle personal data. For example, organizations that require a data protection officer are companies where there is wide-ranging, regular and systematic monitoring of people or their core activities are made up of such monitoring.  With this in mind we recommend you to evaluate whether the requirement for a data protection officer applies to you or not.

 

  1. The outsourcing of personal data handling will require protective measures from you

If you have outsourced any part of the data process to another entity and they will handle personal data on behalf of you, there are a couple of thing you will be required to do:

You must ensure adequate technical and organizational protective measures will meet the requirements of regulations You must ensure that the rights of registered people are protected

In practice this means that you have to identify the situations where outsourcing is appropriate and ensure that all contracts are drawn up correctly. For example, the storage of data in cloud services is regarded as outsourcing, even though the service provider does not actively process the data.

 

  1. Breaches may incur a hefty fine

It is also significant that in addition to a warning, you may receive a hefty fine for breaching the data protection regulation. The fine can be up to a maximum of EUR 20 million or 4 per cent of your company’s total turnover.