Retrouvez ci dessous un ensemble d’articles, destinés à vous apporter des éclaircissements sur les impacts, les responsabilités ainsi que les différents points clefs du GDPR.
Principes de collecte et traitement des données personnelles
LE GDPR repose sur 5 principes fondamentaux : finalité, proportionnalité et pertinence, durée de conservation limitée, sécurité et confidentialité, respect du droit des personnes.
L’information des personnes concernées
Pour que les données soient collectées et traitées de manière licite, loyale et transparente, pour des finalités déterminées, explicites et légitimes, il faut que la personne concernée soit informée (voire qu’elle accepte, selon le contexte) de nombreux renseignements.
Les obligations du responsable de traitement : la conception des traitements
Le GDPR impose de nouvelles obligations, qui n’existaient pas dans la loi « Informatique et libertés », qui portent notamment sur l’importance de la prise en compte de la protection des données personnelles dès la conception d’un traitement (« privacy by design »).
Les obligations du responsable de traitement : la structuration en interne
Le respect du GDPR implique pour le responsable de traitement la mise en place de diverses mesures dont les principales sont la tenue d’un registre des traitements, la mise en place d’un DPO (conditionnel), la contractualisation et la revue des contrats conclus avec les sous-traitants ainsi que l’encadrement des transferts des données au moyen des outils juridiques offerts par le GDPR.
Les obligations du Responsable de Traitement : La Sécurité
Le GDPR dispose que le responsable de traitement (mais aussi les prestataires externes) doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation se traduit par la mise en place de mesures de sécurité élémentaires et systématiques.
Les Sanctions
A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du GDPR ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas ces textes. Des sanctions pénales peuvent également être prononcées.
Qui est responsable ?
Le GDPR précise que c’est à chacun de démontrer qu’il respecte le règlement et ses principes. C’est parce que c’est à chacun de démontrer qu’il respecte le GDPR qu’il est si important de documenter son respect. Cette documentation est fondamentale, centrale.