PRIVACY BY DESIGN ET DU PRIVACY BY DEFAULT

Les contrats occupent une place centrale au sein du RGPD. Ils trouvent à s'appliquer dans la relations entre les acteurs des traitements, dans la relation avec les personnes physiques, de même qu'ils constituent un axe incontournable de garantie du respect de al règlementation lors de certaines opérations (Transferts internationaux de données ...).

ELABORER UNE STRATÉGIE CONTRACTUELLE ENTRE ACTEURS DES TRAITEMENTS

L'architecture contractuelle varie en fonction des acteurs de la relation contractuelle.

En tant qu'autorité de contrôle de la protection des données, la CNIL préconise de suivre une démarche s'articulant autour de six axes structurants pour disposer d'un dispositif de conformité crédible et fiable  :

  1. Désigner un pilote interne (DPO facultatif ou obligatoire, collaborateur non DPO ...)

  2. Recenser précisément les traitements de données personnelles (Cartographie)

  3. Identifiez les actions à mener pour se conformer aux obligations (Prioriser)

  4. Réaliser des analyses d'impact relative à la protection des données (AIPD) requiqses par les textes

  5. Organiser les processus internes 

  6. Documenter la conformité

En s'appuyant sur la structuration de la conformité, les responsable de traitements et les sous-traitant doivent déployer six réflexes traduisant l'existence d'une culture RGPD :

  1. Collecter les données vraiment nécessaires (Pertinence)

  2. Apporter aux personnes une information claire et complète (Transparence) 

  3. Répondre dans les meilleurs délais aux demandes des personnes (Respect des droits)  

  4. Encadrement et contractualisation du partage et la circulation des données (Maîtrise) 

  5. Application de mesures spécifiques en cas de traitement de données en masse, de données ou d'activités sensibles (Gestion des risques) 

  6. Adaptation de la sécurité informatique et physiques en fonction de la sensibilité des données et des risques en cas d’incident (Sécurité).

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des mesures à adopter,

  • La désignation d'un pilote de la gouvernance des données personnelles engendre une mission d’information, de conseil et de contrôle en interne

  • L'élaboration du registre des traitements basé sur un recensement précis permet de mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l'organisme

  • L'approche par les risques préconisée par le RGPD vise à prioriser les actions au regard des risques que feraient peser des traitements sur les droits et les libertés des personnes concernées  

  • La mise en place de procédures internes permet de prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire)

  • La réalisation de DPIA est complémentaire de la constitution des analyses courantes et documentées des traitements qui doivent être formalisées à chaque étape des traitements et réexaminés/actualisés régulièrement pour assurer une protection des données en continu.

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris