GDPR (4) Usage loyal des données à caractère personnel

10 août 2017

Dans cet article, nous identifierons, à partir des principes de base du GDPR, les obligations qui vous incombent en tant que responsable du traitement des données à caractère personnel et indiquerons d’emblée 6 démarches à accomplir pour être parfaitement en règle d’ici mai 2018.

Le GDPR entend créer un cadre réglementaire permettant l’utilisation d’informations personnelles par les entreprises et organisations, tout en garantissant le mieux possible le respect de la vie privée des personnes concernées.

Les principes de base pour un usage fondé des données à caractère personnel sont les suivants :

  • faire preuve de transparence sur les données que vous détenez et les traitements que vous effectuez ;
  • utiliser les données de façon légale et loyale ;
  • préserver les droits des personnes concernées ;
  • respecter la confidentialité et l’intégrité des données ;
  • répondre en tant que Responsable du traitement.

Ces principes figurent depuis longtemps déjà dans la législation sur la vie privée et ont été régulièrement précisés au fil du temps.

Les principales obligations imposées par le GDPR au Responsable du traitement des données découlent directement de ces principes.

  • Vous garantissez la transparence en indiquant clairement quelles données personnelles vous détenez, quel traitement vous effectuez et quel objectif vous poursuivez. Les informations à ce propos doivent être faciles à trouver et rédigées dans un langage clair et simple, afin que chacun puisse les comprendre.
  • L’usage loyal des données à caractère personnel suppose que vous les obteniez de manière légale, que vous ne les utilisiez qu’aux finalités prévues et que vous n’en collectiez pas davantage ni ne les conserviez plus longtemps que ce qui est nécessaire pour atteindre l’objectif.
  • Toute personne concernée a le droit d’être informée sur le traitement dont font l’objet ses données. Elle peut demander l’accès aux données concrètes et les faire rectifier, compléter ou supprimer. Elle peut en faire cesser le traitement à certaines conditions. Ce ne sera dès lors pas une mince affaire de respecter tous ces droits.
  • Le respect des données implique que vous mettiez tout en œuvre pour les introduire et les tenir à jour qualitativement et le plus correctement possible, et que vous les protégiez convenablement de sorte qu’elles ne puissent être divulguées indûment ou utilisées à mauvais escient.
  • Le Responsable doit pouvoir prouver qu’il satisfait à l’ensemble des obligations de la réglementation et devra répondre en cas de manquements.

Toute entreprise qui fait de la responsabilité sociétale une priorité souscrira logiquement à ces objectifs. Nous devons dès lors considérer le GDPR et les compléments d’explications fournis par les autorités de contrôle nationales (la Commission Vie privée en Belgique) comme une aide. Ils doivent servir de repères pour atteindre un but valable sans compromettre le fonctionnement d’une entreprise ou organisation. Le GDPR ne doit en effet pas être à l’origine de crispations en la matière.

Nous énumérons brièvement ci-dessous les principales démarches qu’un responsable du traitement des données devra accomplir au cours des prochains mois pour se mettre en conformité avec la nouvelle réglementation d’ici le 25 mai 2018.

  1. Établissez un registre des activités de traitement des données à caractère personnel. Il s’agit d’une obligation du GDPR et à partir du 25 mai 2018, vous devrez pouvoir soumettre ce registre sur demande à la Commission Vie privée. Considérez-le d’abord comme un outil pour vous-même. Vous aurez en effet un aperçu de toutes les données à caractère personnel que vous utilisez. Le registre doit mentionner le type de données, le type de traitement, la finalité et le fondement légal du traitement.
  2. Rédigez une déclaration de confidentialité. Celle-ci doit pouvoir être facilement consultée partout où vous collectez des données de contact et autres informations sur des personnes.
  3. Vérifiez si vous disposez d’une protection adéquate de toutes les données à caractère personnel collectées. Votre réseau est-il sécurisé ? Les fichiers contenant des données à caractère personnel sont-ils cryptés ou protégés au moyen d’un mot de passe sécurisé ? Les données qui ne sont plus nécessaires sont-elles supprimées en toute sécurité, qu’il s’agisse des informations sur support numérique ou sur papier ?
  4. Rédigez les instructions à suivre lorsqu’une personne concernée vous contacte pour exercer ses droits, afin que vous puissiez accomplir à temps les démarches nécessaires. Chez qui arrive la demande ? Qui fait quoi ?
  5. Rédigez une procédure claire indiquant toutes les démarches à entreprendre en cas de fuite de données et de risque de violation de la vie privée des personnes concernées. Tous les travailleurs sont-ils au courant de cette procédure ?
  6. Si vous impliquez des tierces parties dans le traitement des données à caractère personnel, établissez un accord contractuel décrivant clairement ce que le sous-traitant doit faire et quelles sont ses obligations et responsabilités en vertu du GDPR.

Nous développerons très concrètement chacun de ces points d’action dans des articles distincts. Nous ne voulons en effet pas nous limiter à des considérations générales mais entendons donner également des conseils pratiques. Mais d’abord l’article suivant traitera la personne qui sera le plus apte à coordonner votre project GDPR.

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Vous avez des questions ou souhaitez réagir ? N’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com.

LOADING