RGPD – 3 pièges à éviter

Toute personne suivant un projet de mise en conformité au Règlement Général Européen sur la Protection des Données (RGPD) sait que cela engendre beaucoup de travail. Une mauvaise interprétation du RGPD peut faire perdre beaucoup de temps aux entreprises se concentrant sur des mesures inefficaces. A moins que quelqu’un ne remarque leurs erreurs, elles risquent donc de faire face à des sanctions.

Ce blog met en avant certaines erreurs commises par les entreprises au cours de leur préparation au RGPD et explique comment les éviter.

 

  1. “Je n’avais pas réalisé que le RGPD me concernait”

La plus grosse erreur qui peut être commise est de penser que « le RGPD ne concerne que les grandes entreprises ; et ne concerne donc pas mon organisation » Ces personnes ignorent le règlement et risquent de recevoir les sanctions les plus strictes. Mais la taille de l’entreprise n’est pas la seule justification utilisée pour ne pas se conformer au RGPD. Certaines personnes nous disent « Mais mon entreprise ne fait pas partie de l’UE » ou encore « Nous sommes un organisme de bienfaisance donc rien à faire pour nous, non ? »

Ces suppositions ne sont pas pertinentes. Peu importe où votre entreprise est basée, sa taille, la quantité de données personnelles collectées ou les raisons pour lesquelles elles sont collectées. La seule chose qui compte réellement est de savoir si, oui ou non, vous collectez les données personnelles de résidents européens. Si c’est le cas vous devrez, soit arrêter de collecter ces données, soit vous conformer au RGPD.  Il n’existe que deux dérogations. Le RGPD ne concerne pas les « activités domestiques », telles que les emails ou numéros de téléphone personnels, et les exigences sont moins strictes pour les entreprises de moins de 250 employés.

 

  1. “Vous n’avez pas toujours besoin du consentement ?!”

La plupart des entreprises utilisent le consentement afin de traiter les données personnelles de manière légitime. Les nouvelles exigences de conformité étant très strictes, elles ne sont donc pas très bien accueillies. Les critiques indiquent que les nouvelles règles, y compris le besoin d’obtenir « une action affirmative claire » de la part de la personne concernée, rendent l’obtention du consentement beaucoup trop compliquée. Sans cela, les entreprises n’auront pas accès aux données personnelles et certaines de leurs procédures les plus importantes échoueront.

Il est vrai que les exigences du RGPD ont pour but de dissuader les entreprises d’obtenir le consentement, mais cela ne signifie pas pour autant qu’elles ne puissent pas traiter de données personnelles. En effet, le consentement n’est que l’une des six raisons légitimes de traitement des données personnelles et est de loin la moins préférable. Si vous persistez à utiliser le consentement, cela risque de créer de nombreux problèmes.
Par exemple, si vous l’utilisez afin de traiter des données personnelles et que vous souhaitez ensuite utiliser ces données à d’autres fins, vous devrez redemander le consentement des personnes concernées. Attention, vous devrez alors supprimer les données de toute personne refusant de donner son consentement ou ne répondant pas à votre demande.

Les personnes concernées peuvent également retirer leur consentement à tout moment, ce qui signifie là encore que vous devrez supprimer leurs données. Si vous ne vous plier pas à cette règle, vous vous exposez à une action disciplinaire de la part de l’autorité de contrôle compétente.

Les autres bases légales sont plus stables et fournissent aux entreprises un meilleur niveau de sécurité dans le cas où une personne concernée s’opposerait au traitement de leurs données. Si l’entreprise fournit des preuves documentées concernant les exigences légales permettant le traitement des données, la demande de la personne concernée sera surement rejetée.

 

  1. “Suis-je le responsable ou le sous-traitant ?”

Le RGPD partage les responsabilités légales de gestion des données personnelles en deux catégories : celles du responsable du traitement, qui détermine la raison et la méthode de collecte des données personnelles et celles du sous-traitants, qui gère la collection des données.

Cela peut paraitre claire mais la relation entre responsables du traitement et sous-traitants est rarement si simple. Les entreprises sont souvent responsables du traitement dans certains scénarios et sous-traitant dans d’autres. De plus, comme l’explique VentureBeat, il peut y avoir plusieurs sous-traitants pour les mêmes données : « Par exemple, mon entreprise crée une plateforme de gestion des services informatiques (ITSM). Les clients conservent des données personnelles dans notre solution d’assistance. Cela fait de nos clients des responsables du traitement et notre entreprise le sous-traitant. Cependant, notre plateforme Cloud fonctionne via Amazon Web Services ; Amazon est donc notre sous-traitant. »

 

VentureBeat ajoute : “Amazon contrôle les données personnelles de certains de nos employés, dans un fichier CRM ou sur un compte d’achat en ligne sur Amazon.com. Mais, il s’agit d’autres relations sans lien. »

Les responsabilités des responsables du traitement et sous-traitant sont différentes, il est donc essentiel que toutes les parties impliquées dans la collecte des données connaissent leur rôle.

Apprenez-en plus sur les exigences liées à la mise en application du RGPD en vous inscrivant à l’une de nos formations RGPD.

 

Formation certifiée d’introduction au RGPD

Formation certifiée de spécialisation au RGPD

 

Economisez 15% en réservant ces deux formations simultanément via notre offre combinée.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.