Parce que nous sommes plus que jamais concernés, faisons le point avec Luc HOBON, Data Protection Officer (DPO) pour Total Marketing France et ses filiales, sur les réalisations et les grands chantiers à venir en matière de protection des données personnelles.
Les principales réalisations en 2020
1. Gestion des demandes d’exercice des droits des personnes concernées
Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant : droit d’accès, de rectification, d’effacement, d’opposition, à la limitation, à la portabilité des données.
Il s’agit de vos prospects, clients, fournisseurs, partenaires… Et bien sûr, vous-même : en tant qu’employé.
Les personnes concernées doivent être informées de leurs droits et disposer d’un point de contact pour exercer leurs droits.
Vous disposez seulement d’un délai d’un mois pour répondre aux demandes.
Vous devez également apporter la preuve à tout moment que vous avez effectivement bien répondu et réalisé les actions adéquates (rectification, effacement…).
Comment répondre ? Est-il possible de rejeter une demande tout en respectant le RGPD ? Existe-t-il des modèles de courrier de réponse ? Comment tracer les échanges ?
2. Gestion des incidents de sécurité et des violations de données personnelles
Une violation de données personnelles est un incident de sécurité qui entraîne (de manière accidentelle ou illicite) la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles (transmises, conservées ou traitées d’une autre manière), ou l’accès non autorisé à de telles données.
Vous disposez seulement de 72 heures pour notifier à la CNIL une violation de données personnelles qui est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
Comment évaluer ce risque ? Quelles ressources pouvez-vous mobiliser ? Comment tracer toutes les décisions prises ? Comment notifier la violation à la CNIL et aux personnes concernées ?
3. Accueil de l’autorité de contrôle CNIL
La CNIL peut réaliser à tout moment des contrôles sur tous les sites web en ligne, les applications smartphone, les réseaux sociaux, etc. Mais la CNIL peut aussi réaliser à tout moment un contrôle inopiné dans les locaux de l’entreprise. Vous devez alors démontrer que vous respectez bien les principes de la protection de données personnelles.
Qui accueille les agents de la CNIL ? Quelles ressources pouvez-vous mobiliser ? Qui doit répondre directement aux agents ? Comment tracer les échanges ? Qui signe le procès-verbal ?
4. Information / Sensibilisation / Formation
Nous devons démontrer à la CNIL que toutes les personnes qui manipulent des données personnelles ont été sensibilisées, informées ou formées à la protection des données personnelles : article paru dans le magazine interne TOTEM mag ; animation d’un atelier RGPD lors du Business Ethics Day du 10 décembre dernier ; formation auprès des assistantes de direction et information des correspondants communication de TMF pour ajouter les mentions d’information RGPD à tous les questionnaires ou enquêtes réalisés.
Les chantiers prévus en 2021…
- S’assurer de la conformité RGPD dès la conception d’un projet.
Vous devez être capable de démontrer la conformité RGPD de toute application, tout outil, toute opération marketing, tout nouveau produit ou service qui utilise des données personnelles.
Pour plus d’informations, contactez le référent protection des données personnelles de votre entité : votre Data Privacy Liaison (DPL)
- Mettre en conformité les sites web et les applications mobiles avant le 31 mars 2021.
Il y a de nombreuses obligations à respecter : les mentions d’informations, les conditions générales d‘utilisation (CGU), la charte de données personnelles et traceurs, le bandeau cookies et autres traceurs et pour finir la collecte du consentement.
Vous devez appliquer au plus tard le 31 mars 2021 les nouvelles lignes directrices de la CNIL sur les cookies et autres traceurs.
Pour plus d’informations, n’hésitez pas à visionner le webinaire “La conformité des sites Internet au RGPD” en cliquant ici.
- Définir le programme de contrôle des traitements pour TMF.
Nous devons démontrer que nous avons un programme de contrôle cohérent qui permet de garantir la conformité RGPD de l’ensemble des activités de traitement. Il est important de détailler qui contrôle quoi, quand, comment et de conserver les preuves de ces contrôles.
Pour lire l’article au complet, cliquez ici
Commentaires