Le règlement général sur la protection des données (RGPD) a été adopté par le Parlement européen en 2016. Et est entré en vigueur en 2018. Il crée un cadre juridique pour la protection des données personnelles en Europe. Les entreprises qui traitent les données personnelles des résidents européens doivent se conformer à la réglementation. Son application transcende les frontières européennes. Les responsables du traitement et les sous-traitants étrangers traitant des données à caractère personnel depuis l’Union européenne (UE) doivent appliquer le RGPD, même si le traitement a lieu en dehors de l’UE.
Ce texte renforce la protection des personnes dont les données sont collectées et les droits qu’elles peuvent exercer. Vous pouvez notamment accéder aux données collectées. Et décider, par exemple, de les rectifier ou de les supprimer et demander leur portabilité. Le RGPD impose un certain nombre d’obligations aux responsables du traitement des données, notamment : B. Obligation de conserver une trace des traitements ou de notifier à la CNIL en cas de violation de données. Ces obligations s’accompagnent d’une responsabilité pour les parties prenantes des données. Les responsables de traitement sont responsables de la conformité de leurs activités et doivent pouvoir en apporter la preuve.
Données Personnelles et Sa Conservation
Avec l’utilisation des nouvelles technologies, les flux de données personnelles deviennent de plus en plus importants. Le RGPD vise à réglementer le traitement afin de protéger la vie privée des individus. Le terme données correspond à des informations à partir desquelles un message peut être dérivé. Les données dites personnelles au sens de la protection des données sont des informations relatives à une personne physique.
Il s’agit clairement de données personnelles ou de contact. Mais le champ des données personnelles est beaucoup plus large. Par exemple, en utilisant votre historique d’achat sur un site en ligne, le vendeur peut utiliser cette information pour suggérer d’autres produits. Des données telles que le prénom, le nom, l’adresse, l’adresse e-mail et le numéro de téléphone sont également enregistrées au cours de ce processus. Il inclut également vos habitudes d’achat, votre adresse IP, vos sites Web préférés, etc.
Toutes ces informations sont des données personnelles. Quel que soit le type de données traitées, la CNIL retient des critères « directs » ou « indirects » d’identification des personnes. En d’autres termes, si ces informations identifient une personne physique censée pouvoir établir ce lien à l’aide d’une seule information ou d’une combinaison d’informations, il s’agit de données personnelles. Le RGPD distingue également différentes catégories de données personnelles avec un niveau de protection approprié en fonction du risque d’atteinte aux droits et libertés d’une personne physique. Le traitement des données médicales devrait donc bénéficier d’un degré de protection plus élevé en raison de sa grande sensibilité. Il en va de même pour les données sur la race, la politique, la religion ou l’opinion syndicale, mais aussi pour les données sur les convictions.
Dans l’esprit de toujours protéger les intérêts des personnes, le RGPD impose aux responsables de traitement des obligations de fixer des durées de conservation des données qu’ils traitent. Il ne peut traiter que les données strictement nécessaires à ses activités et les conserver pendant une durée raisonnable au regard de leur utilité. Pour tout traitement, le responsable du traitement doit informer la personne concernée de la durée de conservation applicable.
Les durées de conservation peuvent être soumises à des obligations légales particulières. Si le texte ne prévoit pas de durée de conservation, celle-ci doit être raisonnable et proportionnée aux finalités poursuivies dans le traitement des données. Après ces périodes, les données doivent être supprimées de la base de données ou rendues anonymes. Dans le cas contraire, le responsable du traitement manque à son obligation de limiter l’étendue des données qu’il traite et ne respecte pas le principe de minimisation.
La conformité GDPR n’est pas une certification validée ponctuellement, mais un nouveau processus d’amélioration continue au sein de votre entreprise.
L’objectif de tout projet de mise en conformité RGPD est d’atteindre un niveau de protection adéquat et en tenant compte des risques. Ceci afin que, notamment en cas d’incidents de sécurité, de réclamations ou de contrôles, nous puissions prouver à tout moment que toutes les mesures nécessaires ont été prises pour lutter contre ces risques. La conformité RGPD est un nouveau processus interne au sein de votre entreprise qui évoluera au fil du temps. Par conséquent, les entreprises doivent définir une méthodologie claire et l’appliquer à tous les départements de l’organisation. L’entreprise peut utiliser une solution logicielle pour mettre en place des processus de conformité.
Concept de traitement de données et enregistrement et traitement des personnes
Le RGPD définit le traitement comme : En termes simples, le traitement des données est un ensemble d’opérations effectuées sur des données personnelles. Ce concept n’est pas facile à appréhender car il combine de nombreuses possibilités.
Il convient de tenir compte du fait que le traitement des données existe à partir du moment de l’intervention sur une ou plusieurs données personnelles.
- Collecter les données et les mettre dans un seul fichier est le remède.
- suppression des données des entrées et autres traitements
- Les données des clients sont structurées dans un logiciel, traitées en permanence,
- Comme vous l’avez peut-être deviné, il s’agit d’un fichier Excel des invités de l’événement.
Le traitement des données peut être à la fois informatique et papier. La pile de CV laissée dans le cabinet des RH est le résultat d’une thérapie.
Selon l’article 30 du RGPD, les personnes qui effectuent le traitement des données (que ce soit en tant que responsables du traitement ou sous-traitants) sont tenues de conserver des enregistrements de leurs activités de traitement. Il s’agit d’un document qui nous permet d’identifier, d’expliquer et d’analyser tout traitement de données personnelles. Afin de vous donner une vue d’ensemble.
Elles doivent être conservées par tous les organismes publics et privés, quelle que soit leur taille, lors du traitement des données personnelles. Les entreprises de moins de 250 employés
n’ont qu’à identifier :
- Traitement occasionnel (par exemple, ressources humaines) ;
- Traitements pouvant porter atteinte aux droits et libertés des personnes
- Traitement de données sensibles (ex. données de santé, opinions religieuses, etc.).
En pratique, les traitements soumis à cette exception réservée à la structure minimale sont extrêmement rares. Et concernent généralement l’utilisation professionnelle des informations des résidents européens.
Il s’agit d’un document de conformité essentiel qui ne peut être ignoré et qui est toujours requis lors des audits.
Selon votre statut de sous-traitant ou de responsable de traitement. La liste des informations obligatoires que vous devez afficher sur le registre varie.
Toutefois, en dehors des informations strictement nécessaires, la tenue d’un registre nous donne la possibilité d’identifier toutes les informations nécessaires pour assurer la conformité du traitement. Pour cette raison. La Mission RGPD propose un mode « étendu » dans l’application d’enregistrement des processus pour vous aider à vous poser les bonnes questions et à vous assurer du respect des méthodes et des obligations des processus.