Règlement et exigences du RGPD

Le règlement GDPR est entré en vigueur en mai 2018 et s’applique à toute organisation qui propose des biens ou des services sur le marché de l’UE. Le RGPD s’applique même si votre entreprise n’est pas basée dans l’UE mais que votre site Web a des clients de l’UE. Avant de plonger dans les détails du règlement GDPR et de ses exigences, clarifions ce que le GDPR vise à atteindre et pourquoi il est important pour vous. Soyez assuré que cela compte. Saviez-vous que la vie privée est un droit de l’homme?

Règlement et exigences du RGPD expliqués

Table des matières

Quel est l’objectif du règlement GDPR?

Le règlement GDPR veut que toutes les organisations, grandes et petites, y compris la vôtre, réfléchissent aux données personnelles qu’elles utilisent et soient très délibérées et réfléchies quant aux raisons et à la manière dont elles les utilisent. Le RGPD veut donc que vous soyez plus attentif aux données personnelles de vos clients, employés, fournisseurs, etc. C’est sûrement une bonne chose, quelque chose que vous pouvez soutenir, non?

En d’autres termes, le règlement GDPR veut mettre fin aux organisations qui ne collectent que des données sur des individus parce qu’elles le peuvent, parce qu’elles pensent qu’elles pourraient en profiter maintenant ou à l’avenir, et le faire sans trop de considération et sans vous informer. .

Comme vous le verrez dans les règles et exigences décrites ci-dessous, le RGPD n’interdit pas vraiment grand-chose. Vous pouvez toujours vous engager dans le marketing par e-mail, vous pouvez toujours faire de la publicité, vous pouvez toujours vendre des données, etc. tant que vous faites preuve de transparence quant à la manière dont vous respectez la vie privée des individus.

Pourquoi est-ce important pour vous?

Il est important pour vous que vous soyez une organisation car il est obligatoire de se conformer au règlement GDPR. De plus en plus, nos interactions professionnelles et personnelles sont numériques, donc tenir compte de la vie privée des individus est la bonne chose à faire. Les clients s’attendent à ce que leurs magasins bien-aimés traitent les données personnelles qu’ils fournissent avec soin, donc avoir votre RGPD en ordre est quelque chose dont vous pouvez être fier et vos clients vous aimeront pour cela.

En tant qu’individu, le RGPD vous donne le contrôle sur les données personnelles que vous fournissez aux organisations. Tout d’abord, le RGPD vous donne le droit d’être informé de ce que les organisations de données personnelles utilisent et pourquoi. Dans le même temps, vous avez le droit d’être informé de la manière dont ils protègent votre vie privée. De plus, vous pouvez vous opposer à l’utilisation de vos données, leur demander de supprimer vos données ou même demander que vos données soient transférées vers un service concurrent.

Jetons donc un coup d’œil aux principales exigences du RGPD.

1. Minimisez votre utilisation de données

En tant qu’organisation, vous devez vous assurer de ne collecter que le minimum d’éléments de données possibles pour atteindre un objectif défini. Par exemple, lorsque vous vendez en ligne, vous n’avez généralement besoin que de vos utilisateurs pour fournir un e-mail et un mot de passe pour que le processus d’inscription fonctionne. Il n’est pas nécessaire de demander aux utilisateurs leur sexe, leur lieu de naissance ou même leur adresse dans le cadre du processus d’enregistrement. Lorsque les utilisateurs continuent de se procurer un article et souhaitent qu’il soit expédié, à ce stade, vous serez en droit de demander l’adresse de l’utilisateur, car il s’agit d’informations essentielles à un processus d’expédition.

Lorsque vous minimisez les données collectées, vous minimisez l’impact de tout incident potentiel lié à la confidentialité ou à la sécurité. La minimisation des données est une exigence fondamentale du RGPD et la plus puissante dans son effet pour protéger la confidentialité de vos utilisateurs.

2. Énoncez vos objectifs & base légale

S’appuyant sur l’exigence de minimisation des données, le RGPD prescrit que vous ne pouvez utiliser les données personnelles qu’à des fins commerciales déclarées et documentées, étayées par l’une des 6 bases juridiques disponibles du RGPD. En d’autres termes, votre utilisation des données personnelles est limitée à une finalité déclarée et à un fondement juridique. Tout traitement de données personnelles que vous entreprenez doit être documenté dans un registre GDPR avec son objectif et sa base juridique. Par exemple:

  • Nom du processus: enregistrement de l’utilisateur
  • Description: processus permettant à l’utilisateur de s’inscrire sur le site Web et de créer un compte
  • Objectif: permettre aux utilisateurs d’avoir un compte pour enregistrer ses préférences et commander des articles
  • Base juridique: contrat

Cette documentation vous oblige à réfléchir à chaque activité de traitement et à examiner attentivement son objectif et sa base juridique. Le RGPD autorise 6 bases légales:

  1. Le traitement est nécessaire pour un contrat que vous avez avec l’individu, ou parce qu’il vous a demandé de prendre des mesures spécifiques avant de conclure un contrat.

  2. Obligation légale

    3. Le traitement est nécessaire pour que vous vous conformiez à la loi (à l’exclusion des obligations contractuelles).

  3. Intérêt légitime

    4. Vous ou un tiers avez un intérêt légitime qui rend le traitement des données nécessaire, et il n’ya pas d’intérêt, de droits ou de libertés d’un autre individu qui surpasse votre intérêt. Par exemple, vous pourriez avoir un intérêt légitime à commercialiser vos produits auprès de clients existants pour augmenter les ventes.

  4. L’individu vous a clairement consenti à traiter ses données personnelles dans un but précis.

  5. Intérêt vital

    6. Le traitement est nécessaire pour protéger la vie de quelqu’un, par exemple dans une situation d’urgence.

  6. Intérêt public

Le traitement est nécessaire pour que vous puissiez effectuer une tâche dans l’intérêt public ou pour votre fonction officielle et la tâche ou la fonction a une base légale claire.
Lorsque vous souscrivez à un service d’une organisation (par exemple, un service de vente au détail en ligne), les activités de base qui composent ce service, par exemple le paiement des articles et l’expédition des articles sont essentiels à la prestation du service. En conséquence, le traitement de vos données personnelles à ces fins peut généralement relever du contrat de base juridique du GDPR. En d’autres termes, l’organisation déclare qu’elle effectue ces activités avec vos données personnelles afin de remplir le contrat que vous avez avec elle. Vous vous attendez en fait à ce qu’ils exécutent ces activités afin que vous puissiez profiter de leurs services comme vous les avez engagés pour le faire. Certaines activités de l’organisation visent à satisfaire ses obligations légales , par exemple vous facturer, reprendre les marchandises endommagées. Et là encore, vous vous attendez à ce qu’ils le fassent.

Pour la plupart des entreprises, les choses deviennent de plus en plus faibles au-delà du contrat et de l ‘ obligation légale . En tant que troisième option, les organisations peuvent faire appel à leurs intérêts légitimes pour traiter les données personnelles d’un individu, par ex. envoyer des e-mails sur les nouveaux produits et services. Cependant, les utilisateurs ont le droit de s’opposer à ce type de traitement et de demander son arrêt.

Une dernière option pour la plupart des organisations en termes de base juridique est le consentement. Cela signifie que l’organisation ne peut pas se prévaloir d’un contrat, d’une obligation légale ou d’un intérêt légitime et doit demander le consentement de l’utilisateur pour le traitement des données personnelles. Le consentement a attiré beaucoup d’attention dans le cadre de la fenêtre contextuelle des cookies, mais vous comprenez maintenant que sa base juridique est en fait assez faible et devrait être considérée comme un dernier recours. Nous avons une section dédiée sur le consentement plus bas dans ce document. Par souci d’exhaustivité, notez que l’intérêt vital en tant que base juridique s’applique, par exemple, à la profession médicale, et que la base juridique d’intérêt public s’applique aux organismes publics.

La création d’un tel registre GDPR répertoriant tous les traitements de données personnelles que votre organisation entreprend peut sembler difficile, mais c’est là que GDPRWise peut vous aider. Pour plus de 30 secteurs, nous avons créé un tel registre que vous pouvez exploiter. Tout ce que vous avez à faire est de vérifier et d’affiner si nécessaire. Consultez notre page sur le fonctionnement de GDPRWise.

3. Maintenez votre registre GDPR

Il y a un grand pouvoir à créer une liste simple. Vous créez probablement des listes tout le temps: votre liste de choses à faire, votre liste de courses, une liste de prospects à contacter, une liste de factures à régler, etc. Créer une liste vous oblige à réfléchir sur le sujet et à considérer quel article fait partie de la liste et quel article ne le fait pas. Avoir une liste signifie que vous avez maintenant un peu de documentation de base, qui peut être exploitée et étendue par la suite. Vous pouvez maintenant même partager la liste avec un collègue afin de pouvoir communiquer le contenu et collaborer pour vous améliorer si nécessaire.
Le RGPD exige d’une organisation qu’elle tienne un registre des activités de traitement. Lorsque votre autorité de surveillance nationale vient frapper à votre porte, le registre RGPD sera probablement le premier document demandé. Votre registre RGPD doit répertorier tous les traitements de données personnelles que vous entreprenez ainsi que certains éléments d’information de base:

  • Description du traitement des données
  • Responsable du traitement des données
  • Objectif commercial
  • Base juridique
  • Type d’éléments de données impliqués
  • Période de conservation des données
  • Mesures de sécurité prises
  • Parties avec lesquelles les données sont partagées
  • Où les données sont-elles traitées

La création d’un tel registre GDPR répertoriant tous les traitements de données personnelles que votre organisation entreprend peut sembler difficile, mais c’est là que GDPRWise peut vous aider. Pour plus de 30 secteurs, nous avons créé un tel registre que vous pouvez exploiter. Tout ce que vous avez à faire est de vérifier et d’affiner si nécessaire. Consultez notre page sur le fonctionnement de GDPRWise.

4. Publiez votre politique de confidentialité

Le RGPD impose à toutes les organisations le devoir d’informer ses utilisateurs et d’assurer la transparence de ses pratiques en matière de confidentialité des données. En bref, votre organisation doit publier une politique de confidentialité afin que les individus puissent se renseigner sur les données que vous collectez et sur vos mesures de confidentialité avant d’utiliser votre service.

Avant de commencer à chercher sur Google pour copier et coller rapidement du texte à partir d’Internet, sachez que votre politique de confidentialité doit refléter l’empreinte des données de votre organisation et les mesures de confidentialité que vous avez mises en œuvre. Tout le reste risque de mal informer vos clients et vous expose à des défis et des amendes.

Dans son effort pour accroître la transparence, le RGPD exige que votre politique de confidentialité soit concise, spécifique et utilise un langage clair et simple. Une politique contenant de nombreuses déclarations générales ou classées avec un jargon juridique n’est tout simplement pas acceptable. Le règlement GDPR précise également les éléments d’information à inclure au minimum:

  • Identité et coordonnées du responsable du traitement et de son représentant
  • Description des activités de traitement des données
  • Description des objectifs commerciaux et base juridique associée
  • Type d’éléments de données impliqués
  • Période de conservation des données
  • La source des données, si les données n’ont pas été fournies par l’utilisateur
  • Toutes les parties avec lesquelles les données sont partagées
  • Tout transfert de données en dehors de l’UE
  • Informer les utilisateurs de leurs droits de personne concernée par le RGPD
  • Informer les utilisateurs sur la manière de déposer une plainte auprès d’une autorité de contrôle

Comme vous pouvez le voir, la plupart des informations qui doivent figurer dans votre politique de confidentialité font également partie de votre registre GDPR. Ainsi, vos efforts pour créer un registre GDPR peuvent être mis à profit. En fait, chez GDPRWise, nous pouvons générer votre politique de confidentialité à partir du contenu de votre registre en un seul clic. Comme mentionné, nous avons créé un registre GDPR rempli pour plus de 30 secteurs pour que vous puissiez créer le vôtre en un rien de temps. Consultez notre page sur le fonctionnement de GDPRWise.

Notez que si votre organisation emploie du personnel, vous traiterez également certaines de leurs données personnelles. Votre devoir d’information et de transparence s’étend à toutes les personnes sur lesquelles vous traitez des données personnelles. Il est donc obligatoire d’avoir une politique de confidentialité spécifiquement pour informer votre personnel.

5. Capturez vos activités de partage de données

Jusqu’à présent, vous n’y avez peut-être pas vraiment réfléchi, mais il est probable que votre entreprise partage déjà pas mal de données personnelles avec un certain nombre de tiers. Surpris?

  • Chaque organisation a un comptable. Les factures et relevés bancaires que vous partagez avec votre comptable contiennent des éléments de données personnelles sur vos clients, vos fournisseurs et votre personnel
  • Si vous avez du personnel, le calcul des salaires et des avantages sociaux est généralement complexe et est souvent sous-traité à un prestataire de services RH. En conséquence, vous partagez des données personnelles sur votre personnel avec ce tiers
  • Lorsque vous utilisez le cloud ou un logiciel hébergé pour prendre en charge le fonctionnement de votre organisation, par exemple logiciel de gestion de la relation client, logiciel de comptabilité de plate-forme de vente (Booking.com, AirBnB etc.), plate-forme de marketing (Mailchimp, Hubspot etc.) le fournisseur de logiciel pourrait très bien avoir accès à certaines des données de ce logiciel afin de pouvoir vous soutenir.
  • Services de livraison, d’expédition et de transport tels que DHL, UPS, Uber, etc. avec lesquels vous partagez des noms et des adresses
  • Plateformes de médias sociaux comme Facebook, Instagram, Pinterest, Linkedin, Youtube, etc.

Comme vous pouvez le constater, même si votre organisation n’est pas sur les réseaux sociaux, vous partagerez probablement certaines données avec des tiers. Le RGPD n’interdit pas ces interactions mais comporte les exigences suivantes:

  1. Vous êtes tenu d’informer les individus de tout partage de leurs données personnelles et d’indiquer avec qui leurs données sont partagées, dans quel but et sur quelle base juridique. En bref, votre politique de confidentialité et votre registre GDPR doivent documenter correctement le transfert.
  2. Tout transfert de données personnelles ne peut être utilisé par le tiers destinataire qu’aux fins documentées.
  3. Si la base juridique du partage est l’intérêt légitime de votre organisation, l’utilisateur a le droit de s’y opposer et vous devrez probablement arrêter et annuler tout partage.
  4. Les données de catégorie spéciale (données médicales, race et ethnicité, etc. voir l’article 9 du RGPD) ne peuvent jamais être partagées sur la base d’un intérêt légitime.
  5. Tout transfert de données personnelles en dehors de l’UE est soumis à des exigences supplémentaires. Il serait souhaitable de s’assurer que la partie destinataire réside dans un pays que l’UE considère comme disposant de pratiques de sécurité et de garanties équivalentes. Si vous souhaitez transférer des données vers un pays non équivalent, veuillez demander un avis juridique.

6. Respecter les droits des personnes concernées

Le RGPD nous met tous dans le contrôle de nos données personnelles, ce qui est l’un des grands avantages de la réglementation. Chaque fois que les organisations traitent nos données personnelles, le RGPD nous donne un ensemble de droits auxquels nous pouvons faire appel. Les exemples sont le droit d’être informé, le droit de retirer son consentement, le droit d’accéder à vos données, le droit d’être oublié, etc. Vous n’êtes plus impuissant, vous pouvez exercer ces droits à tout moment.
Du point de vue des organisations utilisant les données personnelles des individus, la première chose que vous devez faire est de vous assurer d’informer les individus de leurs droits. En d’autres termes, votre politique de confidentialité doit décrire les droits des personnes concernées et la manière dont les utilisateurs peuvent les exercer. En outre, vous devez également indiquer comment les utilisateurs peuvent déposer une plainte auprès de l’autorité de contrôle s’ils le souhaitent. Chez GDPRWise, nous nous assurons que les politiques de confidentialité que vous générez avec nous contiennent la bonne clause relative aux personnes concernées, alors consultez comment cela fonctionne .

Non seulement vous devez informer vos utilisateurs, mais vous devez également mettre en œuvre les processus appropriés au sein de votre organisation pour vous assurer de pouvoir répondre rapidement aux demandes des individus. Le RGPD fournit généralement aux organisations un mois de temps de réponse. Nous vous conseillons de configurer une boîte aux lettres de confidentialité dédiée afin qu’aucune demande de personne concernée ne soit manquée. Si vous le souhaitez, vous pouvez également envisager de sous-traiter ces tâches à des parties qui offrent des services de type Data Rep et DPO.

7. Consentement

Le consentement est probablement le sujet le moins aimé du RGPD étant donné que presque tous les sites Web vous obligent à dépasser une fenêtre contextuelle de consentement aux cookies, avant de pouvoir accéder au site Web réel. Avant d’aller plus loin sur la partie cookie, vous comprenez déjà d’après ce qui précède que le consentement est l’une des 6 bases juridiques sur lesquelles le RGPD permet tout traitement de données personnelles.

Il existe un certain nombre d’exigences pour la saisie du consentement. Le consentement devrait être …

    1. Offert gratuitement

L’individu devrait se voir offrir un véritable choix, sans être obligé de prouver son consentement, par exemple en produisant des effets négatifs. Par conséquent, un employeur demandant le consentement de son employé pour un traitement sera rarement considéré comme étant donné librement. Si, par exemple, une application Quiz demande votre consentement pour le suivi de votre emplacement et bien que le suivi de l’emplacement ne soit pas essentiel pour jouer au jeu, l’application ne fonctionne pas sans votre consentement; alors, ici aussi, le consentement n’est pas considéré comme donné librement.

    1. Spécifique

Pour chaque objectif spécifique, le consentement doit être demandé. En d’autres termes, lorsque le traitement a des finalités multiples, le consentement doit être donné pour chacun d’entre eux séparément. Par exemple, vous ne pouvez pas demander le consentement pour une fonctionnalité de newsletter et le partage de données avec des partenaires commerciaux en même temps. Les utilisateurs doivent être en mesure de consentir et de retirer leur consentement à toute fin de traitement spécifique.

    1. Informé

La demande doit être claire, concise et rédigée dans un langage simple avant que le traitement n’ait lieu. Dans le même temps, vous devez informer vos utilisateurs qu’ils peuvent retirer leur consentement à tout moment et comment s’y prendre. Toutes les informations relatives au consentement doivent être claires et facilement compréhensibles et en aucun cas enfouies dans d’autres clauses légales ou contractuelles.

    1. basé sur un acte affirmatif clair

Le silence, les cases pré-cochées ou l’inactivité ne constituent pas un consentement. Vous pouvez inclure une case à cocher vide sur votre site Web. Assurez-vous bien sûr de couvrir également les autres exigences de consentement.

    1. Démontrable

Le responsable du traitement, c’est-à-dire le principal responsable du traitement, doit à tout moment être en mesure de démontrer que l’utilisateur a donné son consentement au traitement.

    1. aussi facilement révoqué que prévu

Lorsqu’il suffit de cliquer sur une case à cocher sur un site Web pour consentir, la révocation du consentement devrait être aussi simple que cela. Les exemples classiques où les détaillants rendent difficile la désinscription sont par exemple insister pour que vous appeliez un numéro, mais ce n’est pas conforme et vous pouvez facilement contester et même signaler à votre autorité de surveillance.

Veuillez noter que pour les données de catégorie spéciale (art. 9 du RGPD) telles que les données médicales, tout consentement ici doit être explicite. Tout consentement explicite va au-delà du consentement normal et nécessite par exemple une signature ou une confirmation supplémentaire par e-mail.

Ah oui, et qu’en est-il de ces redoutables consentements aux biscuits?

Un cookie (également appelé cookie Web, cookie Internet, cookie de navigateur) est un petit élément de données envoyé depuis un site Web et stocké sur l’ordinateur de l’utilisateur par le navigateur Web de l’utilisateur lorsque l’utilisateur visite le site Web. Le RGPD a mis l’accent sur les cookies car ils sauvegardaient généralement des bits de données personnelles lors de la visite d’un site Web à votre insu. Vous pouvez comparer les sites Internet publics avec les espaces publics du monde réel. Comment vous sentiriez-vous si, dans le monde réel, quelqu’un commençait à récolter des informations personnelles vous concernant sans préavis ou sans que vous en soyez conscient?

Les cookies ont été conçus pour que les sites Web se souviennent des informations que l’utilisateur a précédemment entrées sur le site Web, par exemple. noms, adresses, numéros de carte de crédit, etc. Ils se souviennent également si vous vous connectez ou si vous enregistrez les paramètres et préférences que vous avez sur le site. Les cookies qui contiennent des données personnelles doivent être cryptés pour empêcher les pirates de lire les informations à l’intérieur ou même d’accéder (avec les informations d’identification de l’utilisateur) au site Web auquel appartient le cookie. Vérifiez donc avec votre fournisseur de logiciels et les équipes de support informatique le type de cookies que votre site Web ou votre logiciel Internet définit et si le contenu est crypté.

Une catégorie spéciale de cookies est les cookies de suivi qui sont couramment utilisés pour compiler des enregistrements à long terme de l’historique de navigation des individus. Étant donné que cette pratique consiste très clairement en la collecte de données personnelles, elle entre dans le champ d’application du RGPD. Le RGPD insiste pour que toutes les données personnelles collectées soient minimales et justifiées, c’est-à-dire qu’elles aient une base légale.

Tenant compte de ses motifs souvent discutables sans lien réel avec le service recherché par le client, il reste à demander gentiment à l’utilisateur s’il souhaite y être soumis, c’est-à-dire à lui demander son consentement conformément à l’exigence de consentement énoncée ci-dessus. .

8. Mettre en œuvre des mesures de sécurité appropriées

Pas d’intimité sans une bonne sécurité. Vous pouvez avoir les meilleures dispositions en matière de confidentialité, mais lorsque votre sécurité n’est pas à la hauteur, cela conduira inévitablement à des divulgations non autorisées.

Il est important de noter que la sécurité n’est pas une chose, mais un ensemble d’approches, de pratiques et de mesures qui ne sont aussi solides que leur maillon le plus faible. Nous avons créé un élément de base de connaissances Sécurité des données – ce qu’il faut considérer pour votre bénéfice. Les éléments de la base de connaissances associés comprennent également des conseils pratiques tels qu’une liste de questions que vous pouvez poser à votre partenaire de support informatique.
Lorsque vous maîtrisez les bases de la sécurité des données, il vous est conseillé, à vous et à votre partenaire de support informatique, d’exploiter votre registre RGPD et de parcourir la liste des systèmes utilisés. Au minimum, vous souhaitez examiner les aspects ci-dessous:

    • La sécurité physique est-elle appropriée?

Le système se trouve-t-il dans un emplacement physique convenablement sûr et sécurisé? Pour tous les systèmes qui sont des systèmes cloud de renommée mondiale (par exemple, Microsoft.com, Shopify.com), la réponse est principalement Oui et attestée par les certifications de sécurité qu’ils ont obtenues et publiées. Pour tous les systèmes hébergés par votre entreprise, vous voulez vous assurer que des mesures sont en place pour vous assurer que seules les personnes appropriées peuvent accéder aux locaux, au bureau, à la salle des serveurs de la boutique, au classeur, etc. a créé un élément de base de connaissances dédié, Sécurité des données pour les documents papier .

    • Le système & la sécurité du logiciel est-elle appropriée?

Consultez notre base de connaissances dédiée, Sécurité des systèmes et des logiciels – principes pour approfondir ce sujet. Il y a un certain nombre d’aspects que vous devriez examiner et des mesures que vous pouvez appliquer. Quelques exemples ici: tous les systèmes ont-ils les derniers correctifs de sécurité appliqués? Tous les systèmes disposent-ils d’un contrôle d’accès approprié? Dans la mesure du possible, avez-vous activé l’authentification à deux facteurs? Le système applique-t-il des mots de passe forts? Pouvons-nous supprimer ou masquer les éléments de données que nous n’utilisons pas conformément au principe de minimisation des données du RGPD?

    • La sécurité des données est-elle appropriée?

Pour la PME, il y a deux aspects essentiels à vérifier ici: les sauvegardes et le cryptage des données. Confirmez que les systèmes sont sauvegardés et que ces sauvegardes se trouvent dans un endroit sûr. En même temps, vous souhaitez tester de temps en temps qu’une restauration peut être exécutée avec succès. Du côté du cryptage des données, confirmez que toutes les données personnelles sont cryptées à la fois au repos et en transit. Consultez notre base de connaissances dédiée, Sécurité des données – que faut-il considérer? pour plus d’information.

    • Toutes les mesures sont-elles régulièrement revues?

Vos défenses de sécurité nécessitent un examen et des mises à jour réguliers. Cela vaut non seulement pour votre équipement et votre infrastructure, mais également pour les humains qui les exploitent et les utilisent. Nous voulons souligner l’importance de ne pas négliger le facteur humain comme cela a été prouvé être le maillon le plus faible d’une défense de sécurité et de confidentialité. Vous devez vous assurer que la bonne sécurité & les habitudes de confidentialité sont enseignées et appliquées au quotidien de votre entreprise. Il existe de nombreuses plates-formes d’apprentissage en ligne qui offrent une formation sur la sensibilisation à la sécurité et une formation sur la confidentialité des données à des prix très abordables. S’assurer que tous les nouveaux arrivants et tout le personnel suivent ces cours de formation au moins une fois par an est essentiel pour gérer une opération sécurisée et respectueuse de la vie privée. Il est recommandé de mettre en œuvre un code de conduite qui inclut la sécurité & la vie privée ainsi que d’autres pratiques commerciales éthiques.

9. Mettre en œuvre la surveillance des violations & rapports

Le règlement GDPR définit une violation de données personnelles comme une violation de la sécurité conduisant à la destruction accidentelle ou illégale, à la perte, à l’altération, à la divulgation non autorisée ou à l’accès à des données personnelles, qu’elles soient stockées, transmises ou autrement traitées.

Le RGPD vise à garantir que toutes les entreprises prennent les données personnelles au sérieux et les traitent avec le plus grand soin. Une violation de données est un événement des plus graves avec des répercussions potentiellement graves à la fois pour l’entreprise et pour l’une des personnes concernées.

Vous êtes tenu de conserver un journal de toutes les violations, même les plus petits incidents doivent être enregistrés. Le journal doit décrire l’incident lui-même, sa cause, ses répercussions, le risque de dommages futurs, les données affectées et les mesures prises pour atténuer les risques de dommages supplémentaires. Vous pouvez explorer notre modèle pour un tel journal d’incident ici .

Les violations ayant un impact probable sur les droits et libertés des individus doivent être signalées au autorité de contrôle et potentiellement les personnes concernées .

Il est essentiel que les entreprises mettent en œuvre des mesures techniques et organisationnelles appropriées pour éviter d’éventuelles violations de données. Dans le même temps, les entreprises devront s’assurer que leurs systèmes sont surveillés pour détecter les violations de données. On ne peut pas signaler d’éventuelles violations de données personnelles si l’on n’a aucun moyen de détecter une telle violation. Des logiciels spécialisés existent pour détecter les intrusions dans le système et vous devez confirmer auprès de vos fournisseurs de logiciels et de vos équipes informatiques que ceux-ci sont déployés pour votre traitement.

Toutes les violations de données ne sont pas causées par des tiers malveillants tels que les pirates. Il existe de nombreux exemples de perte accidentelle ou d’accès non autorisé accidentel:

  • Un membre du personnel perd une clé / clé USB contenant des fichiers de données personnelles avec le lecteur, ni les fichiers de données en cours de chiffrement
  • Un membre du personnel des ventes publie accidentellement un rapport sur les revenus contenant les noms et les détails financiers des clients sur le site Web public plutôt que sur le site de l’équipe intranet
  • Un membre du personnel joint le mauvais fichier à un e-mail, ce qui entraîne la divulgation accidentelle de données personnelles
  • Un membre du personnel supprime accidentellement les enregistrements des clients, ce qui entraîne la perte de données personnelles

Une culture d’entreprise où la sécurité et la confidentialité des données sont une valeur fondamentale aidera non seulement à prévenir de tels accidents, mais contribuera souvent également à en minimiser l’impact. Le facteur humain et en veillant à ce que tout le personnel passe régulièrement par la sécurité & les formations de sensibilisation à la confidentialité sont essentielles pour établir la bonne sécurité & culture de la vie privée.

10. Confidentialité dès la conception

L’objectif final du RGPD est vraiment de garantir que la confidentialité est au premier plan pour vous et toutes les organisations dans toutes ses activités. Dès le stade des nouvelles idées et plans, vous devriez déjà avoir le réflexe de confidentialité pour vous assurer de minimiser l’utilisation, de limiter le but, de saisir la base juridique, d’être considéré comme les droits de l’utilisateur, d’être attentif lors du partage, d’envisager comment informer les utilisateurs. et assurer des mesures de sécurité appropriées. Il devrait devenir une seconde nature pour vous et votre organisation d’avoir la confidentialité dès la conception ou une approche axée sur la confidentialité. La vie privée est un droit humain. Vos utilisateurs ont confiance que vous traitez leurs données personnelles avec le soin qu’elles méritent.