0 commentaire(s) | 215 vues

A partir du 25 mai prochain, la manière dont les données personnelles d’un résident européen sont collectées, stockées, gérées et sécurisées va radicalement changer. A vous d’anticiper !

  • Désigner un délégué à la protection des données

Les entreprises devront recruter ou nommer un délégué à la protection des données (DPD). Il aura pour missions de contrôler, de conseiller, d’informer auprès du personnel, des clients et servira aussi d’interlocuteur auprès des autorités de contrôle national. Il rapportera directement au PDG.

  • Une gestion plus stricte des données personnelles

Le texte insiste sur les obligations liées au consentement, au droit à l’oubli et à la portabilité des données. Un accord explicite des personnes est ainsi obligatoire en cas de traitement de données dites sensibles, en cas de transfert des données en dehors de l’UE ou en cas d’utilisation des données à des fins marketing ou de profiling. Les cases pré-cochées sur un contrat ou un site seront désormais interdites. La preuve du consentement incombe à l’entreprise.

D’autre part, un client qui ne voudra plus faire partie du fichier d’une agence de voyages, par exemple, pourra demander à récupérer ses données (ses habitudes de voyage, un programme de fidélité…) sous une forme réutilisable (portabilité), ou demander à ce qu’elles soient effacées de tous les systèmes (droit à l’oubli).

  • Gérer les risques et organiser des processus internes

Les entreprises détenant des données à caractère personnel (nom, adresse, copie de passeport etc…) ou des données dites « sensibles » (données médicales ou bancaires) auront l’obligation d’informer leur autorité de contrôle nationale de toute violation importante dans les 72 heures après en avoir pris connaissance. En France, il faudra alerter la Cnil.

Tout nouveau traitement de données personnelles devra aussi être analysé dans ses conséquences sur la protection de ces informations, y compris en cas d’externalisation de la collecte et/ou du traitement.

  • Définir des chantiers prioritaires

Inventaire des traitements des données personnelles, mise en place d’une procédure d’urgence en cas de piratage, adaptation des procédés commerciaux (gestion des cookies, politique marketing…), le texte européen demande aux services marketing, commercial, juridique et des ressources humaines de revoir la gestion des données personnelles.

  • Documenter la mise en conformité

En cas d’infraction du règlement ou de manquement à l’obligation de notification après une fuite de données, les autorités pourront prononcer un avertissement, suspendre les flux de données temporairement ou définitivement, ordonner la rectification, la limitation voire l’effacement de celles-ci. Les entreprises risqueront une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du CA annuel global.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *