Protection des données (RGPD) : cinq astuces pour simplifier votre conformité

Pour se mettre en conformité avec le Règlement général pour la protection des données (RGPD), les responsables de traitements et autres directeurs des systèmes d’information sont soumis à un stress certain. Quelques astuces peuvent être utilisées pour ne pas oublier de zones d’ombres et se simplifier la tâche de mise en conformité. 

Pour toute interrogation que vous pourriez avoir concernant le RGPD : contactez-nous à cette adresse et nous nous efforcerons d’y répondre à travers nos publications. 

 

Connaissez les lieux de stockage des données personnelles

Pour être sûr de ne pas se trouver en contradiction avec le RGPD lors de son entrée en vigueur le 25 mai 2018, tout responsable de traitement doit savoir où sont stockées les données personnelles qu’il traite car des mesures spécifiques s’appliquent si les données sont traitées dans un pays tiers. L’article 44 du RGPD précise en effet que tout transfert de données personnelles en dehors des frontières de l’Union européenne ne peut être légal que sous certaines conditions exclusives l’une de l’autre. 

La première possibilité repose sur une validation, par la Commission européenne, de la protection des données personnelles dans le pays tiers destinataire (article 45 du RGPD). On parle de décision d’adéquation. 

La seconde possibilité joue si la Commission européenne n’a pas rendu de décision d’adéquation. Le transfert est possible à condition que des garanties appropriées soient prévues et si les personnes concernées disposent des droits d’opposition et de voies de droit effectives (article 46 du RGPD). 

 

Gare au stockage des données en Grande-Bretagne

Un enjeu évident découle du Brexit : tous les traitements de données se trouvant sur ce territoire seront bientôt extérieurs à l’Union européenne. Tous les responsables de traitement doivent s’assurer que leurs données personnelles soient rapatriées au sein de l’Union européenne ou soient traitées en Grande-Bretagne dans des conditions conformes à l’article 46 du RGPD. 

Pour l’instant la Commission européenne n’a pas délivré de décision dans le cadre de l’article 45. On peut penser qu’un accord pourra être trouvé entre l’UE et les britanniques, mais tout cela reste très hypothétique. Dans le cadre du RGPD, il est bien plus prudent de ne pas attendre que les autorités compétentes prennent des décisions : il est plus sage de prendre les devants et de s’assurer, en amont, que les traitements de données personnelles que l’on réalise sont conformes. 

 

N’oubliez pas vos données personnelles stockées dans le cloud

Si vous utilisez un service de stockage de données en ligne, ou cloud, pour traiter des données à caractère personnel, vous ne devez pas oublier de connaître, dans la mesure du possible, les lieux physiques où sont situés les serveurs servant au stockage. Le responsable de traitement doit pouvoir dire si les données qu’il traite sont stockées au sein de l’Union européenne ou en dehors et il doit pouvoir en informer les individus dont les données sont traitées. 

Des difficultés sont à prendre en compte pour certains services de cloud qui ne permettent pas de savoir exactement où sont localisés les serveurs utilisés. Il faudra donc prendre toutes les précautions pour obtenir ces informations en sollicitant directement la société prestataire du service de stockage en ligne. 

 

Faites comme la Commission européenne pour obtenir le consentement des individus

Vous vous demandez sûrement comment récolter le consentement au traitement des données personnelles pour que cela soit conforme au RGPD. 

Faut-il délivrer individuellement une fiche d’information ? Peut-on se contenter de confirmer le consentement par une case à cocher avec un lien vers une page contenant toutes les informations à donner à l’individu ? Le site de la Commission européenne, supposé être conforme au RGPD, donne un exemple de ce qu’il est possible de faire. 

Une simple case à cocher avec un renvoi à une page d’informations sont proposés : 

 

Un simple lien hypertexte et une case à cocher semblent suffire à valider le consentement des individus au traitement de leurs données personnelles. 

 

N’oubliez pas la conformité de vos traitements de données “RH”

Le responsable du traitement ne doit pas oublier les données personnelles traitées dans le cadre des ressources humaines. Il est important d’informer les salariés du traitement dont peuvent faire l’objet leurs données en conformité avec le RGPD. 

Pour cela, il est tout à fait possible de prévoir une annexe au contrat de travail, à faire signer par tous les salariés, les informant du ou des traitements potentiels sur le fondement de la relation contractuelle. En revanche, toute donnée personnelle qui n’est pas nécessaire à la signature du contrat de travail, telle que la composition du ménage, doit être traitée sur le fondement du consentement du salarié. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Lire plus

[Best of 2024] Loi Evin : comment traiter les CCN dont la cotisation santé est assise sur le salaire

Article initialement publié le 25/06/2024 L'article 4 de la loi Evin du 31 décembre 1989 est un pilier historique de la complémentaire santé collective. Grâce à lui, les anciens salariés d'une entreprise (voir le rappel ci-dessous) peuvent continuer à bénéficier de la même couverture santé que les salariés actifs. Cette couverture est maintenue à certaines conditions. L'une d'elle est centrale...
Armées
Lire plus

FO Défense dénonce l’accord PSC santé des Armées

Alors qu'au sein du ministère des Armées, la réforme de la protection sociale complémentaire (PSC) doit entrer en vigueur à partir du 1er janvier prochain, le sujet continue de susciter quelques débats paritaires en interne. La dénonciation par la fédération de FO de la Défense de l'accord PSC santé signé aux Armées vient en témoigner. C'est par le moyen d'un communiqué qu'elle a publié en milieu de semaine que FO...