La responsabilité est un principe commun aux organisations de nombreuses disciplines ; ce principe implique que les organisations répondent aux attentes, par exemple dans la livraison de leurs produits et leur comportement envers ceux avec qui elles interagissent. Le règlement général sur la protection des données (loi RGPD) intègre la responsabilité comme un principe qui exige que les organisations mettent en place des mesures techniques et organisationnelles appropriées et soient en mesure de démontrer ce qu’elles ont fait et son efficacité lorsqu’on le leur demande.
Ce sont les organisations, et non les autorités de protection des données, qui doivent démontrer qu’elles respectent la loi. Ces mesures comprennent :
Une documentation adéquate sur les données à caractère personnel qui sont traitées ;
Comment, dans quel but et pendant combien de temps les données seront traitées ;
Des processus et procédures documentés visant à traiter les questions de protection des données à un stade précoce lors de la mise en place de systèmes d’information ou de la réponse à une violation de données ;
La présence d’un délégué à la protection des données (si nécessaire) qui est intégré dans la planification et les opérations de l’organisation.
Faites un inventaire de toutes les données à caractère personnel que vous détenez et examinez-les sous les rubriques suivantes :
- Pourquoi les détenez-vous ?
- Comment les avez-vous obtenues ?
- Pourquoi ont-elles été recueillies à l’origine ?
- Combien de temps les conserverez-vous ?
- Quel est le degré de sécurité, tant en termes de cryptage que d’accessibilité ?
- Les partagez-vous parfois avec des tiers et sur quelle base pourriez-vous le faire ?
Ceci est la première étape vers le respect du principe de responsabilité du RGPD, qui exige que les organisations démontrent (et, dans la plupart des cas, documentent) la manière dont elles se conforment aux principes de protection des données lors de leurs transactions commerciales. L’inventaire permettra également aux organisations de modifier des données incorrectes ou de suivre les divulgations de tiers à l’avenir, ce qu’elles pourraient être tenues de faire.
Vous devriez également vous référer aux sujets sur les délégués à la protection des données, les évaluations d’impact sur la protection des données et l’approche fondée sur le risque des activités de traitement pour voir si l’un des critères établis est pertinent pour vos activités de traitement.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : avocat spécialisé données personnelles.