vie privée: la responsabilisation et la responsabilité des entreprises

Quel est l’impact sur votre entreprise ou organisation du nouveau règlement européen sur la protection des données, que l’on appelle General Data Protection Regulation ou « GDPR » (ou en français RGPD) ? Découvrez le deuxième article concernant la responsabilité et l'obligation de rendre des comptes des entreprises.

je traite des données à caractère personnel. Quelles sont mes obligations?

Les règles européennes font une distinction entre le responsable du traitement (controller) et le sous-traitant  (processor) . Le controller dit comment et pourquoi les données à caractère personnel sont traitées. Le processor travaille pour le compte du controller. Les deux peuvent être une seule et même organisation : un secrétariat social, par exemple, traite des données en tant que processor pour le compte d'une entreprise. Il traite les données de ses propres travailleurs en tant que controller.

Tous deux doivent respecter la nouvelle législation européenne relative à la vie privée et pouvoir justifier leurs ‘actes’ et leurs processus. En d'autres termes, le controller et le processor doivent traiter les données à caractère personnel selon les règles de l’art et - c’est une nouveauté - pouvoir démontrer et justifier de quelle manière ce traitement est effectué et pourquoi. Il s'agit du principe de responsabilisation.

Ne conservez pas les données à caractère personnel plus longtemps que nécessaire.

Votre entreprise ou organisation traite-t-elle correctement les données ?

Afin de respecter les règles, vous devez définir clairement comment vous allez traiter les données à caractère personnel et le faire

  • de manière légitime et intègre ;
  • uniquement collectées pour des finalités déterminées ;
  • être pertinentes et limitées à ces objectifs ;
  • être précises et actuelles ;
  • ne peuvent être conservées plus longtemps que nécessaire :
  • sont traitées de manière sûre.

Plus la pricipe de responsabilisation est respecté, plus les risques de sanctions sont limités.

comment votre entreprise peut-elle prouver ou justifier le ‘traitement correct’?

Elle peut le faire de différentes manières :

  • inventoriez toutes les activités de traitement ;
  • démontrez que vous ne traitez que les données dont vous avez vraiment besoin ;
  • rédigez une 'privacy notice' (une déclaration dans laquelle votre entreprise décrit comment elle collecte, utilise, conserve, etc. les données) ;
  • développez une politique interne destinée à former et à sensibiliser vos collaborateurs ;
  • désignez un responsable ‘privacy’ ;
  • le cas échéant, effectuez une analyse ou un assessment d’impact ;
  • utilisez des procédures de sécurité efficaces ;

Mieux vous respectez le principe de responsabilité, moins le risque de sanctions sera élevé ou moins élevée sera la sanction.

‘privacy by design’ et ‘privacy by default’

Les règles européennes imposent deux principes à votre entreprise ou organisation. ‘Privacy by design’ signifie que vous développez des outils et des processus avec un impact sur la vie privée de la personne réduit au minimum.

‘Privacy by default’ implique le paramétrage de vos solutions de manière standard de sorte que la protection de la vie privée de la personne concernée soit optimale. Il n'est plus possible de procéder comme suit :

  • utiliser des champs pré-remplis pour obtenir l’autorisation de la personne concernée ;
  • demander des informations qui ne sont pas pertinentes pour l'objectif (p. ex. inscription à une infolettre) ;
  • stipuler dans les conditions générales que les données sont partagées avec des tiers (sans que la personne concernée n’ait expressément donné son accord) ;

 

Lisez également les autres articles dans notre série sur la nouvelle loi européenne stricte relative à la  protection de la vie privée.


disclaimer
Plus grand prestataire de services de ressources humaines du pays, Randstad estime qu'il est essentiel, par le biais de ce blog, d'aborder sous plusieurs angles divers sujets liés au monde du travail. Cela implique que nous ne souscrivons pas systématiquement aux points de vue des spécialistes qui ont rédigé les articles.