Comment le RGPD affectera-t-il les entrepreneurs indépendants ?

Presque toutes les entreprises seront affectées par le Règlement Général Européen sur la Protection des Données (RGPD), en allant des entrepreneurs indépendants aux multinationales. Mais, si l’objectif du RGPD est d’unifier les lois de protection des données à travers l’Union Européenne, toutes les entreprises ne feront pas pour autant face aux mêmes challenges.

Nous avons déjà analysé un grand nombre de ces challenges sur notre blog mais cet article se concentre sur les principaux problèmes rencontrés par les indépendants en amont de la mise en vigueur du RGPD le 25 mai 2018.

 

Nommer un délégué à la protection des données (DPD)

Un délégué à la protection des données (équivalent du CIL – Correspondant Informatique et Libertés) a de nombreuses responsabilités. En effet, il contrôle la conformité au RGPD et aux autres lois de protection des données, et est le point de contact des autorités de contrôle et des personnes dont les données personnelles sont traitées.

La plupart des entrepreneurs indépendants ne devront pas nécessairement nommer un délégué à la protection des données. En effet, cela n’est obligatoire que pour les autorités publiques, les organisations surveillant des individus de manière systématique et à grande échelle ainsi que celles traitant des catégories spéciales de données ou des données liées à une infraction criminelle. Cependant, le règlement suggère que la plupart des entreprises qui gèrent des données personnelles devraient désigner une personne en charge de superviser la conformité au RGPD même s’ils ne sont pas, en théorie, délégué à la protection des données.

Le règlement permet également à des groupes d’entreprises de nommer un DPD collectif.

 

Se préparer aux violations de données

Toutes les entreprises sont vulnérables face aux violations de données et ce qu’il s’agisse de négligence, d’actions malveillantes ou les deux. Les petites entreprises peuvent penser à tort que les hackers ne s’intéressent pas à elles ou qu’elles n’ont rien d’intéressant pour eux, mais les cybers criminels ciblent plus souvent des faiblesses exploitables que des entreprises.

Il est important de savoir quoi faire lorsque l’on se trouve dans le cadre d’une violation de données. Le RGPD indique que toute intrusion qui créent un risque pour les droits et libertés des individus doit être signalée à l’autorité de contrôle compétente dans un délai de 72 heures après sa découverte.

Il sera difficile pour les entrepreneurs indépendants de s’y conformer puisque cela prend beaucoup de temps de préparer les informations nécessaires.

En effet, le signalement d’une violation de données doit comprendre :

  • La nature de la violation de données, y compris, si possible, les catégories, le nombre de personnes concernées et de données affectées.
  • Le nom et les coordonnées du délégué à la protection des données ou de la personne en charge.
  • Une description des conséquences probables de l’intrusion.
  • Une description des mesures prises ou à prendre afin de répondre à la violation de données.

Il sera beaucoup plus facile de respecter l’échéance de 72 heures si un plan a déjà été mis en place pour répondre à cette exigence.

 

Obtenir le consentement approprié

Le RGPD ajuste les exigences liées au consentement. En effet, la principale modification est la nécessité d’obtenir le consentement en modifiant en particulier les conditions de son obtention via une « action positive claire », ce qui invalide les options de désinscription (ou opt-out) telles que les cases pré-cochées.

La demande de consentement doit comprendre les informations de traitement spécifiques, le type d’informations requises, les raisons du traitement et les aspects particuliers qui peuvent affecter les personnes concernées telles que la divulgation.

Il y a beaucoup de nuances à prendre en compte en ce qui concerne consentement selon le RGPD et il n’est pas toujours la base légale la plus appropriée pour l’obtention de données personnelles.

Nous vous recommandons donc de lire nos blogs dédiés au consentement explicite et au consentement de l’enfant.

 

Comment se conformer

La bonne nouvelle est qu’une grande partie des principes du RGPD sont similaires à ceux des lois de protection des données actuelles ce qui signifie que si vous êtes déjà conforme et que la plupart de vos procédés restent valides. Cependant, il y a tout de même des changements importants, vous aurez donc besoin d’un plan pour vous y conformer.

Il vous reste à présent moins d’un an avant la mise en vigueur du RGPD. Cela signifie que vous avez assez de temps pour vous préparer aux changements mais vous devez agir vite.

Pour commencer, nous vous proposons de découvrir notre Guide de poche RGPD.

Ecrit par le fondateur et président exécutif d’IT Governance, Alan Calder, ce guide est la ressource idéale pour toute personne souhaitant une introduction claire sur les principes de protection des données et leurs nouvelles obligations selon le RGPD. Il décrit les termes et définitions utilisées dans le RGPD en des termes simples, met en avant les exigences clés du RGPD et fournit des conseils quant à la conformité avec le règlement.

Découvrir le Guide de poche RGPD

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.