GDPR : Êtes-vous prêt pour mai 2018 ?
En quoi cela consiste ?
Le nouveau cadre légal sur la Protection des Données Privées (RGPD/GDPR) demande aux entreprises établies au Luxembourg ou offrant des biens ou services vers l’UE, traitant des données privées, à répondre à un ensemble d’obligations dont le but est de garantir la protection des droits et des libertés des personnes concernées par ces traitements.
Chaque société traitant des données privatives a jusqu’au 25 mai 2018 pour se mettre en conformité.
Les traitements de données à caractère personnel au sein des sociétés n’auront plus à faire l’objet d’une autorisation préalable (dossiers CNPD). Par contre les entreprises devront être capables de montrer leur documentation des traitements et finalités et justifier leur conformité à tout instant.
Ce qu’il faut faire :
1 - Consolidation de l’inventaire de traitements :
Chaque traitement de donnée privée, tel que RH, vidéosurveillance ou gestion des clients, associé à une ou plusieurs finalités, doit figurer dans un «Inventaire de traitements ». Le descriptif sera composé d’une série d’informations relatives au traitement concerné (identification du responsable de traitement, localisation de la donnée, durée de conservation, destinataires…)
2 - Analyse des traitements :
Tous les traitements relatifs à des données privées devront répondre à 6 grands principes décrits au sein du règlement. Chaque responsable de traitement devra avoir la capacité de démontrer leur respect.
3 - Fourniture d’Informations lors d’une collecte de donnée privée :
A chaque collecte d’information à caractère personnel, la personne concernée doit prendre connaissance de toute une série d’informations telles que la durée de conservation de la donnée, la définition de ses droits en la matière, le type de donnée collectée, les finalités du traitement, etc.
4 - Conformité des transferts hors Union Européenne :
Identification de chaque transfert de données hors UE et définition des mesures garantissant un niveau de sécurité conforme aux exigences du GDPR.
5 - Revue des contrats existants :
Les sous-traitants sont également tenus de respecter les obligations du GDPR. Les responsables des traitements doivent s’assurer que leurs sous-traitants sont conformes.
6 - Gestion des risques :
En cas de nécessité il y a lieu de réaliser une analyse des risques (DPIA).
7 - Détection et gestion des violations :
Un système de détection et d’enregistrement des tentatives d’infractions au sein du réseau informatique devra également être mis en œuvre en fonction du niveau de sécurité nécessaire. Toute violation doit être rapportée auprès de la CNPD endéans 72h après détection de la faille.
Le rôle du DPO ?
Le Data Protection Officer a pour missions d’informer et de conseiller le personnel, d’être le point de contact avec la CNPD et de contrôler le bon respect du GDPR au sein de la société. Cette fonction peut être internalisée ou externalisée.
- Un DPO interne devra être formé, sera présent à temps plein ou partiel suivant son contrat de travail et bénéficiera d’une protection particulière comme un travailleur désigné
- Un DPO externe sera prêt à exercer sa fonction dès le début de sa mission car il a acquis la connaissance du sujet. Son contrat de temps de travail pourra être adapté aux besoins réels de l’entreprise. Un conflit d’intérêt étant exclu vu qu’il n’a pas d’autres fonctions à responsabilité au sein de la société.
Les sanctions ?
Si vous avez omis de réaliser un dossier respectivement s’il n’est pas conforme lors d’un contrôle, la CNPD aura le droit d’infliger des amendes.
Afin d’éviter la moindre amende, PrestaCompta peut vous recommander un bureau d’ingénieurs conseils qualifiés pouvant vous accompagner dans votre mise en conformité GDPR.