RGPD : Les nouvelles obligations du responsable de traitement

RGPD

RGPD : quelles sont les obligations du responsable de traitement ? 

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD), plusieurs obligations sont mises à la charge du responsable de traitement. À travers cet article, nous allons vous les présenter en détail :

  • Tenir un registre des activités de traitement. Ce registre est un document contenant les informations suivantes : identification du responsable de traitement, finalités du traitement, catégories de données personnelles collectées, personnes concernées, durée de conservation et suppression des données.
  • Respecter les principes de Privacy by design & by default. Il s’agit de collecter le moins de données possible, respecter la durée de conservation des données ou prévoir des procédures de suppression à l’issue du traitement.
  • Prévoir un contrat écrit lorsque le responsable de traitement a recours à sous-traitant. Ce dernier doit disposer des garanties suffisantes au sens du RGPD.
  • Veiller au respect du principe d’Accountability . Il doit établir une documentation qui démontre que les traitements sont réalisés dans le respect du règlement.
  • Mettre en œuvre et veiller au respect des mesures de sécurité mises en place par l’entreprise, garantir un niveau de sécurité adapté au risque (sécurisation des postes de travail, chiffrement des transferts, sauvegardes quotidiennes, engagements de confidentialité des collaborateurs et prestataires, etc.).
  • Respecter les droits des personnes concernées (informer les personnes concernées de l’utilisation qui sera faite de leurs données à caractère personnel, recueillir leur consentement exprès avant tout traitement de données, répondre à leurs demandes d’accès, rectification, effacement, portabilité, opposition).
  • Réaliser une analyse d’impact avant la mise en œuvre du traitement lorsque ce dernier est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette analyse est requise en particulier pour les traitements en masse de données sensibles ou de profilage.
  • Encadrer les transferts de données hors Union européenne vers des pays tiers. Des garanties appropriées doivent être prévues pour certains pays qui n’ont pas mis en oeuvre de dispositif de protection équivalent à celui de l’Union européenne. Il s’agit des clauses contractuelles types de la Commission européenne, des “Binding Corporate Rules” ou encore des codes de conduite.
 

RGPD : quelles sanctions en cas de non-respect des obligations ?

Le responsable de traitement s’expose à des sanctions administratives en cas de non-respect de ses obligations, le montant pouvant s’élever jusqu’à 20 millions d’euros, ou, si cela concerne une entreprise, jusqu'à 4% du chiffre d’affaires annuel mondial.

Nos experts vous aident dans votre mise en conformité : téléchargez notre guide et regardez notre webinar