RGPD : les obligations du responsable de traitement

Le règlement général sur la protection des données  (RGPD) apporte des précisions et renforce les obligations des responsables de traitement, c’est-à-dire, les organisations utilisant des données personnelles à leurs propres fins.

En effet ces obligations (voir ci-dessous), bien que sous entendu par les législations précédentes, sont maintenant explicitées et ont pour but d’assurer plus de transparence et de conformité des opérations de traitements au RGPD.

Le RGPD prévoit des obligations des responsables de traitement envers les  personnes concernées, vis à vis de leur organisation interne et des mesures de contrôle et de conformité à mettre en place et encadre leur relation avec les tiers avec qui il partage les données.

Les obligations du responsable de traitement envers les personnes concernées

– Fournir aux personnes concernées (utilisateurs etc.) une politique de confidentialité conforme et mise à jour (voir les directives ici)

Obtenir le consentement conforme aux nouvelles exigences réglementaires (voir ici pour plus de détails) et mettre en œuvre une option de retrait du consentement.

 –   Etre en mesure de traiter les demandes des personnes concernées dans les délais impartis (ex: droit d’accès etc.)

 
Impact du RGPD sur l’organisation interne du responsable de traitement

Nommer un délégué à la protection des données si nécessaire

– Mettre en place des politiques et procédures internes pour s’assurer qu’il peut traiter toutes demandes, notamment des personnes concernées, relatives aux données, effectuer les notifications de faille de sécurité etc.

Assurer la sécurité et la confidentialité des données personnelles collectées (cette responsabilité est désormais partiellement partagée avec le sous-traitant)

 Les obligations du Responsable de traitement en terme de suivi et de mise en conformité des traitements

– Appliquer les principes protection de la vie privée dès la conception et par défaut (c’est à dire évaluer la conformité des traitements dès leur conception/mise en oeuvre)

– Dans certains cas, mener des analyses d’impact sur la vie privée pour certains traitements présentant des risques élevés.

Mettre en oeuvre une politique de durée de conservation des données afin de s’assurer que les données sont conservées pour la durée  nécessaire à l’objectif poursuivi par les traitements (voir protectiond des données dès la conception et par défaut).

Tenir un registre de toutes les activités de traitement de données

 Le responsable de traitement et sa relations avec les tiers (partage de données)

Mettre à jour les contrats avec les sous-traitants et les partenaires pour se conformer au RGPD.

– S’assurer que tout transfert de données personnelles est conforme au RGPD (c’est-à-dire qu’ils sont encadrés par des outils reconnus tels que les BCR, clauses contractuelles types, etc.?)

Les besoins ou l’étendue de chaque obligation doivent être adaptés au contexte (c’est-à-dire le type de traitement des données en place, le nombre et la sensibilité des données personnelles traitées, la quantité d’informations partagées, etc.).

Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat.

RGPD : les obligations du responsable de traitement
Étiqueté avec :