Les données

4 Catégories d’exigences concernant les données personnelles

 

Les données personnelles sont l’élément central de cette réglementation.  Il est vital de savoir de quelle manière collecter, traiter, utiliser et conserver ces données personnelles.

Tout d’abord, ces 4  catégories d’exigences constituent la base d’un plan de gouvernance efficace des données RGPD :

  1. Découvrir les données (identification et classification des données à caractère personnel)
  2. Gérer des données (y compris les réponses aux demandes des personnes concernées)
  3. Protéger des données (tous les aspects concernant la sécurisation des données)
  4. Générer de rapports (description des activités et des conditions relatives aux données)

rgpd hôtel café restaurant


Découverte et gestion des données personnelles

La capacité de trouver des données rapidement et de les gérer efficacement constituent les pierres angulaires de la gouvernance des données.

Le Chapitre 3 (Articles 12 à 23) du RGPD aborde les droits des personnes concernées. Par conséquent, une personne concernée doit avoir le droit d’accéder:

  • aux données à caractère personnel la concernant
  • aux détails sur les activités de traitement
  • aux moyens de soumettre des demandes de rectification, suppression et exportation de ces données à caractère personnel.

Toute entreprise qui traite des données à caractère personnel doit:

  • informer les personnes concernées de leur droit d’accès
  • mettre à leur disposition une méthode processus et technologies pour qu’elles puissent
  • demander à exercer ce droit
  • gérer et répondre à aux demandes.

Le droit à la portabilité des données RGPD signifie que les responsables du traitement doivent fournir une copie des données à caractère personnel à la personne concernée dans un format couramment utilisé et lisible par machine.

La personne concernée a également le droit de transmettre ces données à un autre responsable du traitement dans certaines circonstances.

Les personnes concernées ont le droit de s’opposer au traitement de leurs données à caractère personnel et de ne pas faire l’objet d’une décision basée sur le seul fondement d’un traitement automatisé si la décision les affecte de manière significative.

Pour les entreprises soumises au RGPD, l’un des objectifs principaux d’un plan de gouvernance des données est la protection de ces droits.


protection des données

Protection des données personnelles

La sécurité est un élément essentiel de la gouvernance  des données. L’Article 32 du RGPD traite de la sécurité du traitement des données à caractère personnel.

Il concerne les responsables du traitement et les sous-traitants.

Ceux-ci « mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque », comme la pseudonymisation et le chiffrement des données. Sur une échelle beaucoup plus large, il requiert « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes  et des services de traitement ».

Des incidents peuvent se produire quel que soit le niveau de sécurité. L’article précise ensuite que les mesures de sécurité doivent inclure « des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ».

Il ne suffit pas de mettre en place des mesures de sécurité  et d’intervention en cas d’incident. Il est également nécessaire d’établir un processus pour tester et évaluer régulièrement l’efficacité de ces mesures techniques et organisationnelles.


Génération de rapports et documentation

La documentation et la fourniture de preuves est un aspect essentiel de la gouvernance  des données. En vertu du RGPD, l’entreprise rapporte la preuve de :

  • la licéité de la collecte des données
  • la liberté de consentement (le cas échéant)
  • la gestion appropriée des demandes de droits de la personne concernée
  • la protection des données à caractère personnel par des mesures  appropriées
  • la bonne réalisation des notifications requises
  • la réalisation des analyses d’impact relatives à la protection des données si nécessaire
  • la nomination d’un délégué à la protection des données (si nécessaire)

Définition des rôles et des responsabilités

Le RGPD reconnaît deux postes importants pris en charge par les entreprises qui traitent des données à caractère personnel relevant de son règlement :  le responsable du traitement et le sous-traitant. Le RGPD établit une distinction entre les deux et leur attribue différentes responsabilités.

Tour d’abord, le responsable du traitement contrôle le traitement des données à caractère personnel tandis que le sous-traitant effectue le traitement au nom du responsable.

Alors, le Chapitre IV (Articles 24 à 43) énonce les responsabilités des responsables du traitement et des sous-traitants afin de respecter le règlement, notamment la sécurité du traitement des données et les registres des activités de traitement.

Les mesures de sécurité mettent en œuvre et veillent à l’application des principes et des stratégies de gouvernance des données, et le suivi et les registres démontrent le respect du plan de gouvernance des données.

Les responsables du traitement doivent démontrer le respect des 7 principes énumérés à l’Article 5.

Les responsables du traitement mettent en œuvre des mesures techniques et organisationnelles appropriées pour démontrer que le traitement est effectué conformément au présent règlement. Ces mesures seront réexaminées et actualisées si nécessaire.