LE RGPD ET SON IMPACT SELON VOTRE ACTIVITE

(Règlement Général pour la Protection des Données)

RGPD au niveau Communication

Il conviendra de revoir le site web pour prendre en compte les obligations de protection des données. Quelques exemples de fonctionnalités à mettre en œuvre :

  • LE RGPD ET SON IMPACT SELON VOTRE ACTIVITEStockage de la provenance du contact
  • Être capable d’exporter à la demande les données
  • Revoir les mentions légales
  • Formulaire avec case à cocher
  • Mettre à jour les bases de données avec les données du site
  • Système de suppression automatisé des données inactives
  • Revoir les Cookies plus explicite

RGPD au niveau du Système d’Information

Il faudra également s’assurer que tous les outils de travail soient en conformité avec le RGPD en termes de stockage et traitements des données des salariés, sous-traitants, clients et fournisseurs.

RGPD au niveau Organisation

Le RGPD impose un nouveau rôle le « Délégué à la Protection des Données » (DPD ou DPO) pour les autorités publiques et les entreprises dont l’activité principale repose sur du traitement de données (à grande échelle ou à risque élevé).

Pour les autres entreprises, il recommande fortement la mise en place de ce rôle. Il aura pour mission d’assurer un contrôle régulier de la bonne application du RGPD.

Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation, de piloter en continu la conformité et d’assurer la coopération avec l’autorité de contrôle (CNIL).

RGPD au niveau Ressources Humaines

Il faudra être capable d’assurer la protection des données des salariés en interne mais aussi des sous-traitants et également des candidats au recrutement.

Pour ces derniers l’ESN devra être en mesure de tracer la provenance des données recueillis sur les candidats après avoir reçu leur consentement explicite pour les différents traitements (utilisation et réutilisation de la donnée).

En termes de stockage il faudra privilégier les systèmes d’encryption et de pseudonymisation pour assurer une protection totale des données personnelles.

Autre point autour de l’automatisation de certains processus RH, le RGPD impose de tenir informer l’individu sur la nature et les règles du dit traitement. Il conviendra donc de vérifier si l’outillage RH permet de respecter le règlement.

RGPD au niveau des Achats / Ventes

Il faudra revoir les contrats de prestations, de sous-traitance pour intégrer de nouvelles clauses tenant compte du RGPD, notamment en termes de partage des responsabilités, d’obligation de notifier tous cas de violation du respect de la vie privée.

RGPD au niveau des professionnels de santé

  • Le traitement des données de santé peut être opéré sans le consentement de la personne concernée, s’il l’est pour des motifs d’intérêt public. Il en va de même pour le transfert des données de santé, notamment au niveau international. Ces dérogations visent par exemple à prévenir des épidémies ou à lutter contre le dopage dans le sport
  • Suivant la même logique, le règlement prévoit une limitation pour les individus à faire valoir certains droits pour certaines catégories de données particulières. Le droit à l’effacement (ou « droit à l’oubli ») ne peut donc s’appliquer dans le cas du traitement des données de santé, si ce traitement relève d’un motif d’intérêt public dans le domaine de la santé publique
  • L’étude d’impact sur la vie privée, imposée aux organisations soumises au Règlement lorsqu’elles exécutent des traitements à grande échelle, n’est pas obligatoire si « le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel ». Les hôpitaux n’y sont donc pas contraints.
  • Si l’analyse d’impact prévue à l’article 35 du RGPD ne représente pas une obligation dans le cas précis des données de santé, les Etats membres peuvent tout de même demander à ce qu’une organisation obtienne, préalablement au traitement, une autorisation de l’autorité de contrôle désignée (dans le cas français, la CNIL).

RGPD Pour les avocats

L’article  17  inclut  le  droit  à  l’effacement  (« droit  à  l’oubli ») l’article 17 comporte une restriction importante que les cabinets d’avocats peuvent invoquer dans la mesure où leurs activités de traitement sont nécessaires « à la constatation, à l’exercice ou à la défense de droits en justice ».

Il est important de noter que le considérant 91 explique que le traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de clients par un avocat exerçant à titre individuel. Il s’agit d’une exemption qui peut manifestement s’appliquer aux avocats exerçant seuls. Néanmoins, même un cabinet d’avocats de petite taille pourrait avoir à fournir ce genre d’analyses d’impact de temps à autre.

En bref, bien que le règlement lui-même aborde en détail les analyses d’impact, les exigences pratiques sont encore inconnues. Il est attendu que les autorités de contrôle ainsi que le comité mentionné ci- dessus donnent des lignes directrices supplémentaires concernant les détails manquants, comme ceux en lien avec le type d’opérations de traitement pour lesquelles ces analyses d’impact pourraient être requises.

Les responsables du traitement de données sont tenus d’être en mesure de suivre les destinataires de données à caractère personnel (et ce quel que soit le métier exercé) appartenant à une personne donnée (nom et coordonnées électroniques au minimum). Il s’agit également d’une obligation que de nombreux cabinets d’avocats ne pourraient respecter qu’en apportant certains changements à leur système informatique, par exemple en le configurant de manière à retracer de manière fiable les destinataires de données à caractère personnel.

Evidemment ces listes sont non exhaustives, contactez-nous pour un audit sur le RGPD en partenariat avec notre spécialiste.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Poster commentaire