Le texte paru au journal officiel de l'Union Européenne est un règlement, ce qui signifie que, contrairement à une directive, il est applicable dans l'ensemble de l'Union sans nécessiter de transposition dans les différents États membres. La finalité est d'obtenir un cadre juridique unifié pour l'ensemble de l'UE.
Lire le réglement européen sur la protection des données personnelles
La réforme sur la protection des données poursuit trois objectifs :
De nombreuses formalités auprès de la CNIL vont être supprimées. En contrepartie, la responsabilité des entreprises sera renforcée. Elles devront en effet assurer une protection optimale des données et être en mesure de la démontrer en documentant leur conformité.
Voici six étapes pour préparer sa société au nouveau règlement européen qui entrera en vigeur le 25 mai 2018 !
Le DPO est le chef d'orchestre qui va piloter la gouvernance des données personnelles au sein de votre entreprise. Il a pour missions d'informer et de conseiller le(s) responsable(s) du traitement et de contrôler en interne le respect du règlement européen.
Ce registre doit recenser de façon précise, tous les traitements de données personnelles que vous mettez en oeuvre (Qui ? Quoi ? Pourquoi ? Où ? Jusqu'à quand ? Comment ?). L'objectif est de s'assurer que ces traitements respectent bien les nouvelles obligations légales mise en place par l'Union Européenne.
Grâce au registre des données personnelles, vous allez pouvoir identifier les actions à mener pour vous conformer aux obligations du nouveau règlement européen. Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées.
Le PIA est une étude qui vous aide à mettre en place des traitements de données respectueux de la vie privée et qui permettent d'en démontrer la conformité auprès du RGPD.
Pour garantir une protection des données personnelles optimale, il faut élaborer des process internes qui prennent en considération l'ensemble des événements qui peuvent survenir au cours de la vie d'un traitement (ex : faille de sécurité, gestion des demande de rectification ou d'accès, modification des données collectées, changement de prestataire).
Vous devez constituer un dossier qui regroupe toutes les actions et documents nécessaires pour prouver votre conformité au règlement. Ce dossier sera constitué de la documentation relative aux traitements des données personnelles (registre, PIA et encadrement des transferts), de l'information des personnes et les contrats qui définissent les responsabilités des différents acteurs.
Sources :