Conseils pour préparer encore plus vite votre organisation à l'entrée en vigueur du RGPD - partie 1

Voici un aperçu des "must do's" incontournables pour vous conformer au RGPD. Cela constitue-t-il une garantie que vous êtes en règle à 100% ? Non, cet aperçu se veut un résumé, qui vous aidera à ne pas oublier des choses évidentes.

Conseil 1 : Ouvrez un registre des activités de traitement.

C'est incontestablement la toute première priorité. Que vous soyez responsable du traitement (data controller) ou sous-traitant (data processor), chaque partie doit prévoir un tel registre, qui remplace l'ancien système des déclarations de traitement de données auprès de l'autorité pour la protection des données (DPA).

Le registre des activités de traitement doit donner un aperçu de tous les traitements de données à caractère personnel au sein de votre organisation. Aussi bien internes (données à caractère personnel de vos collaborateurs pour le traitement des salaires) qu'externes (traitement de données à caractère personnel pour l'envoi de mailing à une liste de distribution clients par exemple).

Que doit contenir ce registre ? Plusieurs choses essentielles, dont le but du traitement, le type de données à caractère personnel traitées, le délai de conservation de ces données, la juridiction dont relève le traitement, si les données sont envoyées à des tiers y compris en dehors de l'UE etc.

Par où commencer ?

D'ici le 25 mai, vous devez disposer au minimum de ce registre et vous devez le tenir à jour. Si votre société a désigné un DPO, c'est lui qui devra veiller à ce que le registre soit régulièrement mis à jour. Utilisez un modèle (voir ci-dessous) adapté à votre situation et répartissez le travail entre plusieurs départements.  Rassemblez les informations pertinentes sur les traitements au sein de votre organisation et consignez-les de manière appropriée dans le registre.

La Commission belge pour la protection de la vie privée propose un modèle type de registre de traitement sur son site web : https://www.privacycommission.be/fr/registre-des-activites-de-traitement. DNS Belgium utilisera ce modèle comme base pour son propre registre de traitement. Les colonnes qui ne sont pas applicables peuvent rester vides ou être supprimées.

Conseil

Ne vous inquiétez pas pour vos activités de traitement ! Il vaut mieux avoir un registre   limité avec les principales données pour le 25 mai, qu'une liste  provisoire avec des traitements pour lesquels il manque encore les données essentielles. Ce registre est un document vivant qui doit être régulièrement mis à jour.     

Conseil 2 : Sensibilisez vos collaborateurs.

Pour appliquer concrètement sa politique de protection des données à caractère personnel, l'entreprise doit sensibiliser ses collaborateurs pour qu'ils sachent comment traiter de telles données.
Le RGPD n'est pas réservé au management ou au département juridique. "Privacy by design" impose au département informatique de limiter autant que possible le traitement des données à caractère personnel et de prendre les mesures appropriées pour protéger ces données lors de la conception et du développement d'applications.

Comment faire ?

Il existe sur Internet de très nombreux articles qui expliquent les différentes facettes du RGPD dans un langage accessible à tous. Essayez de collecter l'information pertinente et postez-la sur le réseau interne de votre organisation, traitez-la dans des présentations, organisez le cas échéant un atelier et préparez des procédures compréhensibles par tous.   

Veillez aussi à ce que le texte du RGPD soit aisément disponible dans les différentes langues voulues. Idéalement, ce texte de base du RGPD doit pouvoir alimenter la rédaction de documents ou de présentations simplifiés.

Vous trouverez les différentes traductions officielles de la directive RGPD sur le site EUR Lex. Autre site intéressant sur le RGPD : https://www.eugdpr.org/eugdpr.org.html

Conseil 3 : Obtenez l'autorisation des personnes concernées.

Le traitement des données à caractère personnel nécessite en principe l'accord de la personne concernée. Comme nous l'avons déjà signalé dans un précédent article, il y a des exceptions à cette règle, par exemple si le traitement des données est nécessaire pour l'exécution d'un  contrat. Dans ce cas, il ne faut pas demander l'autorisation pour traiter certaines données nécessaires pour la facturation des services fournis.

De nombreuses opérations de traitement reposent cependant sur l'autorisation (présumée) de la personne concernée. On songe ici surtout à tous les mails envoyés  (aux clients, aux fournisseurs, aux destinataires des abonnés à un bulletin électronique, etc.) .

Exemple : une carte de voeux électronique

Voici un exemple de pratique amiable et innoffensive qui peut, involontairement, vous amener des ennuis. De nombreuses entreprises envoient à leurs clients, fournisseurs et relations d'affaires une carte de vœux électronique à l'occasion de la Noël et de la Nouvelle Année. Pour ces envois, l'entreprise utilise une liste d'adresses mail préparée par un de ses collaborateurs.

Quel est le fondement juridique de ce traitement ? Avez-vous jamais reçu l'autorisation des destinataires concernés ? L'opération s'inscrit-il dans le cadre de l'exécution d'un contrat ? Est-il question d'intérêt légitime ou d'obligation légale ? Sans doute, la réponse à ces questions est-elle négative. Vous feriez donc mieux d'envoyer à tous les destinataires figurant sur votre liste de cartes de vœux un message leur demandant de confirmer si , à l'avenir, ils souhaitent encore recevoir une carte électronique de votre part.

Que faire ?

Vérifiez les mailings que votre entreprise envoie. Si ces mailings sont adressés à des personnes physiques (prénom.nom@société.be), vous devez agir. Avant, l'autorisation des personnes concernées était souvent obtenue de manière implicite. Mais en vertu du RGPD, ce ne sera plus le cas et vous devrez obtenir une autorisation librement consentie, précise et univoque et y faire explicitement référence.
    
Il faut aussi pouvoir contrôler l'autorisation accordée. Raison de plus pour envoyer aux destinataires de vos mailings un message leur demandant de confirmer qu'ils acceptent bien de figurer sur votre liste.   

Conseil 4 : Titrez parti d'une déclaration et d'une politique de protection de la vie privée

Plusieurs choses reviennent régulièrement dans le RGPD : transparent, précis, facilement accessible, langage clair et simple…

La politique de protection de la vie privée de votre entreprise doit correspondre à cette philosophie. Il arrive souvent que les règles en matière de protection des données à caractère personnel soient gravées dans des textes juridiques opaques comme des conditions générales par exemple.
Il reste nécessaire d'incorporer ces éléments essentiels dans vos conditions générales, contrats avec les fournisseurs et autres documents de ce type, mais vous devez en outre veiller à les intégrer de manière compréhensible et simple dans votre politique de protection de la vie privée. Cette politique doit figurer sur votre site web et être aisément accessible.

Que doit contenir une déclaration de protection de la vie privée ?

  • identité et données de contact du responsable du traitement (en tant qu'agent de DNS Belgium vous devrez donc mentionner à la fois votre entreprise et la nôtre et expliquer qui fait quoi avec les données);
  • si applicable, coordonnées de votre DPO;
  • objectifs du traitement pour lesquels les données à caractère personnel sont utilisées + cadre juridique du traitement (ex. sur la base de l'autorisation) ;
  • si applicable, à qui les données sont transmises + plus indiquer si les données sont adressées à des pays non membres de l'UE;
  • combien de temps les données sont conservées;
  • référence aux droits des personnes concernées;

Vous trouverez un exemple de politique de protection de la vie privée sur notre site web.

La dernière étape est aussi la plus difficile ; veillez à ce que votre entreprise applique dans les faits ce à quoi elle s'engage dans sa politique de protection de la vie privée. Veillez à ce que tous les collaborateurs soient au courant de cette politique et sachent ce qu'elle implique afin de la respecter dans les faits.

Conseil 5 : Vérifiez si vous devez désigner un Data Protection Officer (DPO).

Pour certaines catégories de sous-traitants et de responsables du traitement, il y a lieu de désigner un Data Protection Officer. Ce DPO peut être un employé de la société ou un consultant externe ; il est chargé de faire respecter les obligations du RGPD et d'apporter son soutien à l'entreprise dans tous les cas ayant trait à la protection des données à caractère personnel.

Quand faut-il désigner un DPO ?

La plupart des entreprises ne devront pas désigner de DPO. Cette désignation est obligatoire pour les instances publiques, ceux qui traitent des données à caractère personnel particulières (informations sur origine ethnique, préférences politiques, sexuelles ou religieuses, etc.), ou des données ayant trait à des faits répressibles et lorsque l'activité principale consiste à traiter à grande échelle des données exigeant une observation régulière et systématique des personnes concernées. Cette dernière disposition est particulièrement opaque mais renvoie à la surveillance des personnes concernées à grande échelle.

A première vue,  vous ne ferez pas partie de ces catégories mais vous devez savoir que l'autorité nationale peut obtenir dérogation par rapport à ces règles et imposer des règles plus strictes en matière de désignation obligatoire d'un DPO.


Le mois suivant, nous poursuivrons avec les 5 derniers conseils pour aider votre entreprise à se préparer au RGPD.

 

 

registre

Organisation qui gère les noms de domaine. Un registre maintient la base de données contenant des informations sur une (ou plusieurs) extension(s) telle que .be, .com, .org, .vlaanderen, etc.

DNS

Domain Name System, littéralement Système de Noms de Domaine. Le DNS est le protocole internet qui assure la conversion entre les noms de domaine et les adresses IP et vice versa.