France Num met à votre disposition un mode d'emploi pour garantir la conformité de votre fichier client au RGPD . Show
Obligation générale de sécurité et de confidentialitéLe responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès. Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service. Ainsi, il est obligé de limiter la quantité de données traitées dès le départ (principe dit de minimisation) et doit démontrer cette conformité à tout moment. L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.. Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles. À savoir les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé ou de la sécurité publique mis en œuvre pour le compte de l'État). Obligation d'informationL'entreprise qui détient des données personnelles doit informer la personne concernée des informations suivantes :
La personne qui traite les données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations. Notamment :
L'objectif de la collecte d'informations doit être déterminé, et les données collectées doivent correspondre à cet objectif. À savoir l'âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles (majorité numérique) pour utiliser un service sur internet (les réseaux sociaux par exemple), est fixée à 15 ans. L'autorisation des parents est nécessaire avant cet âge. L'information sur le traitement de données du mineur doit être rédigée en termes clairs et simples. Réalisation d'analyse d'impactDès lors que le traitement des données présente un risque pour les droits et libertés des personnes, le responsable du traitement doit mener une analyse d'impact sur la vie privée (PIA). Cette analyse d'impact vise à évaluer l'origine, la nature, la particularité et la gravité de ce risque sur les droits et les libertés des personnes. Si l'étude d'impact met en évidence un risque élevé (par exemple : utilisation de données bancaires ou usurpation d'identité) pour les personnes malgré les mesures mises en place pour en diminuer l'impact, laCnil: titleContentdoitêtre informée. L'évaluation dans le cadre de l'analyse d'impact doit porter sur les éléments suivants :
À noter les transferts de données hors de l'UE ne sont plus interdits, mais ils doivent respecter plusieurs conditions, notamment que le pays tiers présente un niveau de protection adapté, selon la Commission européenne. Une autorisation de la Cnil: titleContent est nécessaire si des clauses contractuelles diffèrent des clauses de la Commission européenne. Les données transférées restent soumises au droit de l'UE non seulement pour leur transfert, mais aussi pour tout traitement / transfert ultérieur. Désignation d'un délégué à la protection des données (DPO)L'entreprise qui réalise des traitements de données et les sous-traitants doivent désigner un délégué à la protection des données (DPO) dans les cas suivants :
Le DPO est chargé des missions suivantes :
Le DPO doit avoir les qualités et compétences suivantes :
Le DPO peut être une personne issue du domaine technique, juridique ou autre. Tenue d'un registre des traitements des donnéesEntreprise de moins de 250 salariésElle doit seulement inscrire au registre les traitements suivants :
Autre casL'entreprise a l'obligation de tenir un registre de l'ensemble des traitements. La Cnil propose un modèle de registre . Quelles sont les trois catégories de données personnelles ?Les données relatives à l'identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.) Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.) Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
Quelles données personnelles ?Exemples de données à caractère personnel:. un prénom et un nom;. une adresse personnelle;. une adresse e-mail telle que pré[email protected];. un numéro de carte d'identité;. des données de localisation (par exemple: la fonction de localisation d'un téléphone portable)*;. une adresse de protocole internet (IP);. Quelles sont les informations personnelles considérées comme sensibles ?Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des ...
Quelles sont les données personnelles à protéger ?Exemples :. nom, prénom ;. adresse personnelle ;. adresse de courriel telle que pré[email protected] ;. numéro de carte d'identité ;. adresse de protocole internet (IP) ;. cookie[1] ;. données détenues par un hôpital ou un médecin, qui permettraient d'identifier de manière unique une personne.. |