Le RGPD est un règlement européen qui contraint les entreprises à protéger les données personnelles et la vie privée des citoyens européens pour les transactions qui ont lieu dans les États membres de l’UE. Et la non-conformité peut coûter cher aux entreprises et aux professionnels. Voici ce que tout professionnel qui fait des affaires en Europe doit savoir sur le RGPD.

D’ici le 25 mai, les entreprises et les professionnels collectant des données sur les citoyens dans les pays de l’Union européenne (UE) devront se conformer à de nouvelles règles strictes concernant la protection des données des clients. Le règlement général sur la protection des données (RGPD) devrait établir une nouvelle norme pour les droits des consommateurs en matière de données, alors que les entreprises feront face à un véritable défi lorsqu’elles mettront en place des systèmes et des processus pour s’y conformer.

La mise en conformité suscitera certaines inquiétudes et de nouvelles attentes de la part des équipes de sécurité. Par exemple, le RGPD adopte une vision large de ce qui constitue les renseignements personnels. Les entreprises auront besoin du même niveau de protection pour les informations tels que l’adresse IP d’un individu ou les données des témoins informatiques que pour le nom, l’adresse et le numéro de sécurité sociale.

Le RGPD ne remplace pas l’accord de confidentialité (généralement connu sous le nom de NDA) entre le professionnel et les entreprises avec lesquelles il travaille. Le RGPD concerne la protection des données personnelles tandis que le NDA est un accord visant à éviter la divulgation de tout type d’information appartenant aux clients directs et indirects. Un accord avec une entreprise donnée comprendra toujours un addendum pour garantir la confidentialité et, dans la plupart des cas, un autre addendum traitant des exigences du RGPD (ou une demande de déclaration de conformité au RGPD).

Quels types de données relatives à la vie privée le GDPR protège-t-il ?

  • Des informations de base sur l’identité, telles que le nom, l’adresse et les numéros d’identité
  • Des données Web telles que l’emplacement, l’adresse IP, les données des témoins informatiques et les étiquettes RFID
  • Les données de santé et les données génétiques
  • Les données biométriques
  • Les données relatives à la race ou à l’ethnie
  • Les opinions politiques
  • Les préférences sexuelles

Quelles entreprises sont-elles concernées par le RGPD ?

Toute entreprise qui stocke ou traite des informations personnelles sur des citoyens de l’UE au sein des États membres doit se conformer au RGPD, même si elle n’a pas de présence commerciale dans l’UE.

En effet, même un traducteur, un interprète, un réviseur, un correcteur, etc. professionnel qui entretient une relation avec des sociétés européennes doit être conforme et connaître les exigences minimales de conformité. En effet, même si l’activité principale de ces professionnels ne repose pas sur le traitement de données à caractère personnel, ils peuvent être amenés à traiter des documents et des informations comportant ce type de données à caractère personnel lors de l’exécution du contrat entre le professionnel et la société.

Votre liste de contrôle RGPD

1/ Question : Ai-je tous les documents nécessaires pour montrer à mon client comment je collecte, stocke et traite les données à caractère personnel de manière concise et simple ?

1/ Réponse : Toute collecte de données doit être accompagnée d’une note contenant toutes les informations requises par l’article 13. Utiliser un langage simple et clair constitue l’un des nouveaux prérequis exigences pour nous tous.

2/ Question : Ai-je organisé mes activités professionnelles de manière à ne collecter ou traiter que les données à caractère personnel strictement nécessaires à mon travail et à l’exécution du contrat que j’ai passé avec la société ?

2/ Réponse : Les principes généraux à adopter sont exposés dans les articles 5 et 11.
Il convient de noter que le principe de minimisation des données signifie que seules les données pertinentes pour l’application du contrat sont collectées ou traitées. Collecter ou traiter des données au-delà de l’application du contrat est considéré comme abusif.

3/ Question : Ai-je organisé la conservation des documents relatifs aux différents services afin qu’ils soient toujours accessibles mais uniquement au personnel autorisé ?

3/ Réponse : Les besoins généraux en matière de disponibilité et de confidentialité des bases de données sont ici combinés. Leur traduction concrète est une gestion ordonnée des données et des informations – c’est-à-dire des dossiers papier et des dossiers numériques – qui protège leur contenu des regards indiscrets ou de l’accès par des étrangers, mais qui permet en même temps au propriétaire de gérer efficacement les activités

4/ Question : Le cas échéant (je suis une agence ou une étude associée), ai-je nommé et formé correctement mes collaborateurs et ai-je également formalisé les relations avec les professionnels auxquels je m’adresse pour la gestion et le développement des activités de l’étude ?

4/ Réponse : L’ensemble de l’organigramme « vie privée » de l’entreprise doit être impliqué dans la politique de protection des données. Il s’agit d’un organigramme exhaustif, qui comprend les responsables (collaborateurs, praticiens, employés) mais aussi les responsables des traitements, c’est-à-dire les professionnels externes qui collaborent avec l’entreprise à divers titres (avocats d’autres instances, comptable, conseiller en emploi, etc.) Notez qu’une nomination est nécessaire pour les responsables, (article 29)

5/ Question : Mes PC sont-ils protégés contre les menaces extérieures ? Ai-je, en cas de besoin, les coordonnées d’un technicien informatique de confiance pour demander la solution de problèmes spécifiques ?

5/ Réponse : Il s’agit de la mise en œuvre de logiciels adéquats pour prévenir les attaques ou les menaces de divers types et origines. En ce sens, il peut être judicieux de s’appuyer sur l’expertise et l’expérience d’un professionnel.

6/ Question : Les PC portables et autres outils informatiques mobiles sont-ils utilisés dans des activités en dehors de mon lieu de travail afin de minimiser les risques de perte accidentelle, de soustraction frauduleuse et autres ?

6/ Réponse : L’exemple le plus clair est l’utilisation du stylo USB : en plus d’une protection obligatoire par mot de passe du stylo, il est nécessaire de charger / laisser dans le stylo uniquement les données qui doivent être traitées pendant la session externe.

7/ Question : Dois-je effectuer une sauvegarde complète de toutes les données sur un PC au moins une fois par semaine ?

7/ Réponse : Cette opération est vraiment fondamentale pour la protection des données. En ce qui concerne l’intensité des changements quotidiens, il est recommandé d’avoir une fréquence plus élevée que la fréquence minimale.

8/ Question : Ai-je défini une durée de conservation des données à caractère personnel conforme aux objectifs des traitements ?

8/ Réponse : Même le professionnel est tenu, comme tout détenteur, de définir la durée de conservation des données (qui ne peuvent être stockées à son gré),et, en outre (ce qui est nouveau dans le règlement), de faire une mention spéciale dans la notice d’information (alternativement, la durée de conservation sera suffisante pour indiquer les critères utilisés pour la déterminer).

9/ Question : Lorsque je dois me débarrasser de mes PC, ordinateurs portables et autres appareils utilisés dans le cadre de mon activité professionnelle, dois-je m’assurer qu’il n’y a pas de risque résiduel d’exposer des données personnelles lors de l’élimination du matériel ?

9/ Réponse : La « corbeille électronique », lorsqu’elle n’est pas gérée, est une source d’information défavorable pour les personnes concernées et comportant des risques pour le gestionnaire des données (voir la définition du gestionnaire des données dans le Règlement). Il est de votre devoir de se référer aux dispositions du Règlement en la matière.

10/ Question : Ai-je pris les mesures nécessaires pour la sécurité physique de mon lieu de travail, c’est-à-dire pris des mesures ou des précautions raisonnables pour empêcher les accès non désirés et les actions qui pourraient affecter négativement la confidentialité, la disponibilité ou l’intégrité des bases de données ?

10/ Réponse : Le problème réside toujours dans la sécurité du traitement. Cette fois, cependant, elle est évaluée par l’examen des locaux / lieux physiques dans lesquels les activités du professionnel sont exercées. Les mesures de protection « adéquates » peuvent varier selon le contexte (par exemple, une étude située dans une pièce à l’intérieur d’une unité immobilière où se trouvent d’autres professionnels, une étude située au rez-de-chaussée d’un immeuble, etc.