Quelles sont mes obligations en tant qu'entreprise dans le cadre du RGPD ?
Tout d'abord, il y a les deux nouveaux concepts clés à prendre en compte, à savoir "Privacy by default" et "Privacy by design".
- Privacy by default (Confidentialité par défaut)
- En tant qu'entreprise, vous devez prendre des mesures de politique interne afin de réduire autant que possible le traitement des données personnelles.
- Selon ce concept, vous devez également vous efforcer autant que possible de pseudonymiser ces données.
- En outre, votre entreprise doit être transparente en ce qui concerne les fonctions et le traitement des données personnelles. La personne physique concernée doit même avoir la possibilité de contrôler ce traitement.
- Privacy by design (Confidentialité dès la conception)
- Lors du développement, de la création, de la sélection et de l'utilisation d'applications, de services et de produits basés sur le traitement de données personnelles ou qui traitent des données personnelles dans le cadre de cette commande, vous devez vous assurer à chaque étape du processus que les obligations en matière de protection des données peuvent être respectées.
- Cependant, ce principe n'est pas absolu. En tant qu'entreprise, vous pouvez tenir compte de l'état de la technique, des coûts, de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que de la probabilité et de la gravité des risques pour les droits et libertés des personnes physiques.
Les 6 principes de base du traitement des données à caractère personnel sont :
- Les données à caractère personnel doivent être traitées de manière licite, correcte et transparente à l'égard de la personne concernée (licéité, adéquation et transparence)
- Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (limitation des finalités)
- Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées (traitement minimal)
- Les données à caractère personnel doivent être exactes et, le cas échéant, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes au regard des finalités pour lesquelles elles sont traitées soient effacées ou rectifiées sans délai (exactitude)
- Les données à caractère personnel devraient être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles les données à caractère personnel sont traitées (limitation de la conservation)
- Des mesures techniques ou organisationnelles appropriées doivent être prises pour garantir une protection adéquate des données à caractère personnel, notamment contre les traitements non autorisés ou illicites et contre les pertes, destructions ou dommages accidentels (intégrité et confidentialité)
En tant que PME, vous êtes légalement responsable du respect de ces principes et vous devez être en mesure de le démontrer à tout moment (responsabilité)
Quelles sont les autres obligations légales ?
- Obligation d'information
- Tenue d'un registre des activités de traitement
- Respect des droits des personnes concernées
- Sécurité et signalement des atteintes à la protection des données
- Contrats avec les ceux qui traitent les données
- Évaluations des facteurs relatifs à la vie privée (EFVP) - Évaluation des facteurs relatifs à la protection des données (EFD)
- Un rapport obligatoire pour les nouveaux traitements de données susceptibles de présenter un risque élevé pour les droits et libertés des personnes.
- L'EFVP doit être réalisée avant le début d'une nouvelle activité de traitement (cf. Privacy by Design) et est un processus continu.
- Nomination d'un délégué à la protection des données (DPD)
