ACTU RGPD
Quels sont les documents à présenter à la CNIL en cas de contrôle ?
Pour prouver votre conformité au RGPD, vous devez constituer et regrouper plusieurs documents, qui devront être actualisés régulièrement.
1 – La documentation sur vos traitements de données personnelles (fichier clients, fichier de gestion du personnel, géolocalisation, vidéosurveillance, etc.)
Le registre des traitements
Le registre des traitements permet de cartographier vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.
Il permet d’identifier précisément : les partie prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données ; les catégories des données traitées ; à quoi servent ces données (ce que vous en faites, qui accède aux données et à qui sont-elles communiquées ; combien de temps vous les conservez ; comment sont-elles sécurisées.
L’analyse d’impact sur la protection des données (AIPD)
L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée. Elle concerne les traitements de données personnelles qui sont « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
Un « risque sur la vie privée » est un scénario décrivant :
-
- Un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes)
- Toutes les menaces qui permettraient qu’il survienne.
L’encadrement des transferts de données hors de l’Union européenne
Les transferts de données hors de l’Union européenne sont possibles, à condition d’assurer un niveau de protection des données suffisant et approprié. Pour cela, il est nécessaire d’encadrer ces transferts par le biais de certains outils : clauses contractuelles types, règles internes d’entreprises (BCR), certification, etc.
2 – Les documents relatifs à l’information des personnes concernées par vos fichiers
Les mentions d’information
Lorsque vous collectez, au travers de vos fichiers, des données personnelles, il est important d’informer les personnes concernées de manière concise, transparente, compréhensible et accessible. Ces dernières doivent connaître la raison de la collecte des différentes données les concernant, comprendre le traitement qui sera fait de leurs données et assurer la maîtrise de leurs données.
Les procédures mises en place pour l’exercice des droits
En tant que personne, vous avez la possibilité d’exercer vos droits auprès de tout organisme qui utilise vos données (droit d’information, droit de rectification, droit d’accès, droit d’opposition, droit d’effacement, droit à la portabilité, droit à la limitation).
3 – Les contrats qui définissent les rôles et les responsabilités de chacun
Les contrats avec les sous-traitants
Tout comme les responsables de traitement, les sous-traitants sont tenus de respecter les obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.
Les procédures internes en cas de violations de données
En cas de violation des données, vous devez documenter en interne l’incident en déterminant notamment : la nature de la violation ; les catégories et le nombre approximatif de personnes concernées par la violation ; les catégories et le nombre approximatif d’enregistrements de données concernés ; décrire les conséquences probables de la violation de données ; décrire les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise.
Si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL dans un délai de 72 heures.
SOYEZ CONFORME ET SEREIN, FAITES APPEL A BDL
Notre cabinet vous accompagne dans la mise en conformité de votre structure à la réglementation RGPD, à travers la réalisation d’un audit état des lieux de votre entreprise afin d’évaluer votre niveau de conformité puis de la mise en œuvre de procédures RGPD adaptées à vos besoins et à votre organisme.
Florine BEAUSSIRE – Responsable RGPD
Tél : 03 74 78 01 50
Email : [email protected]