À notre sondage réalisé l’année dernière en collaboration avec la société RGP, seuls 5% des entreprises interrogées se disaient totalement prêtes à l’application de la réglementation RGPD (GDPR). Un an après l’entrée en vigueur du règlement relatif à la protection des données personnelles, les premiers contrôles GDPR sont attendus très prochainement.
En effet, l’Autorité de Protection des Données (APD) s’est finalement constituée et installée le 24 avril 2019, en obtenant l’aval du Parlement dans la nomination de son comité de direction.
Les contrôles GDPR réalisées par l’APD peuvent se faire à la suite d’une plainte déposée, ou bien dans le cadre d’un contrôle. Les pouvoirs d’inspection de cette autorité ne se limitent pas à la demande de régularisation, mais peuvent aller jusqu’à l’investigation dans les locaux de l’entreprise, la consultation des registres, l’audition et la saisie du matériel informatique.
Les amendes prévues peuvent grimper jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel de l’entreprise pour manquement aux principes du GDPR.
Découvrez les 5 étapes essentielles pour vous assurer de la conformité de votre entreprise aux contrôles GDPR.
1. Mettez votre registre de traitement de données GDPR à jour
Le GDPR impose aux responsables du traitement de maintenir une documentation interne des activités de traitement qui ont lieu sous leur responsabilité. Ce registre permet aux responsables du traitement d’identifier et de disposer d’une vue d’ensemble des traitements de données qu’ils opèrent.
La mise à jour du registre doit se faire à échéance régulière. Il s’agit de la seule manière de recenser efficacement l’ensemble des traitements de données personnelles opérés par votre organisation.
2. Évaluez la nécessité de faire une analyse d’impact AIPD au GDPR
Le GDPR prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD). En effet, il est nécessaire de mener une telle étude lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Dans ce contexte, le risque s’apprécie in concreto en fonction de deux critères principaux. D’un côté, la catégorie des données concernées. De l’autre, la gravité de l’atteinte à la vie privée en cas de divulgation non-autorisée.
À cette fin, l’AIPD se décompose en trois parties :
- Une description détaillée du traitement en question
- L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.)
- L’étude, de nature plus technique, des risques sur la sécurité des données.
3. Si vous avez un site web, dotez-vous d’une Politique de confidentialité transparente
En effet, si vous avez un site web, profitez-en afin d’informer vos clients de la manière dont vous traitez leurs données personnelles. Ainsi pouvez-vous mettre en avant le caractère sérieux de votre site et votre mise en conformité par rapport aux obligations légales.
C’est un enjeu important de crédibilité aussi bien pour vous que pour vos clients. De même, mettez à disposition les coordonnées d’une personne contact (comme du délégué à la protection des données de votre entreprise) et informez les clients a minima de leurs droits d’accès à et de rectification de leurs données personnelles.
4. Déclarez vos dispositifs de vidéosurveillance (si applicable)
Sachez que les dispositifs de vidéosurveillance doivent faire l’objet d’une déclaration préalable. En effet, si vous avez installé une ou plusieurs caméras de surveillance dans votre organisation, vous devez en avertir les services de police. À ce titre, vous pouvez gratuitement introduire une déclaration d’une caméra de surveillance sur le site www.declarationcamera.be.
5. Définissez la durée de conservation de vos données et mettez en place un processus d’archivage
Une étape importante dans la mise en conformité du GDPR constitue la définition de la durée de conservation des données. En effet, les entreprises ne peuvent pas conserver les données récoltées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devront être archivées, supprimées ou anonymisées. Il s’agit d’un travail conséquent mais indispensable afin de respecter les obligations découlant du nouveau règlement.
BECI vous prépare aux contrôles GDPR
Découvrez notre atelier pratique GDPR du 4 septembre prochain de 12 à 14H à la Chambre de Commerce de Bruxelles, pendant lequel nous vous accompagnons dans votre mise en conformité. Il vous sera fourni dans le cadre de cet atelier un ensemble de documents documents nécessaires à votre mis en conformité. Pour plus d’infos et pour vous inscrire , cliquez ici :
