Règlement Général sur la Protection des Données du 27 avril 2016 et entrant en vigueur le 25 mai 2018.

Data Protection Ofﬁcer, chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné.

Le DPO devient obligatoire.

Le 25 mai 2018, le DPO devient obligatoire pour :

• Les entreprises qui réalisent un suivi régulier et systématique à grande échelle des personnes concernées par le biais de traitement de données à caractère personnel, par exemple un site e-commerce ;

• Les entreprises qui procèdent à un traitement à grande échelle de données dites sensibles (données de santé, opinions politiques, religieuses…).

Pour toutes les autres entreprises, la désignation d’un DPO est recommandée. Le DPO, qui peut être interne ou externe, doit être désigné le plus rapidement possible aﬁn d’être en mesure de justiﬁer des démarches de conformité dès le mois de mai 2018.

Son rôle est de contrôler et conseiller le Responsable de traitement. Il doit, pour cela, avoir un rôle pivot au sein des équipes et l’attention de la direction de l’entreprise.

L’avocat, par la nature même de ses fonctions, rassemble les qualités requises pour réaliser les missions du DPO. Externe à l’entreprise, il est neutre et la qualité de son contrôle et de ses recommandations n’en sera que meilleure.

Données concernant des personnes physiques identiﬁées ou identiﬁables, directement ou indirecte-ment.

La personne physique ou morale qui détermine les ﬁnalités, c’est-à-dire les objectifs, et les moyens des Traitements de données à caractère personnel.

Le RGPD vient renforcer la responsabilité des sous-traitants à l’égard des Responsables de traitements. A compter du 25 mai 2018, les contrats de sous-traitance devront prévoir des dispositions qui étaient déjà recommandées par la CNIL mais qui devront être renforcées sur les points suivants :

• La déﬁnition au sein du contrat d’instructions claires et précises quant aux opérations sous-traitées ;

• Le devoir de conseil et d’assistance auprès du Responsable de traitement ;

• La conﬁdentialité des données ;

• Les mesures de sécurité mises en œuvre pour protéger les données contre la destruction, l’altération ou tout accès non autorisé ;

• La notiﬁcation des violations de données à caractère personnel aﬁn que l’entreprise puisse elle-même s’acquitter de son obligation de notiﬁca-tion de ces violations auprès de la CNIL ;

• L’obligation de destruction ou de restitution des données à l’issue de la prestation, au choix du responsable de traitement ;

• L’encadrement du recours à un sous-traitant par le sous-traitant.

Revoyez dès aujourd’hui les contrats conclus avec vos prestataires tech-niques, aﬁn de prévoir, le cas échéant, des avenants modiﬁcatifs qui assu-reront votre propre conformité au RGPD.

Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé tels que par exemple, la collecte ou le transfert de données.

Jusqu’à présent les entreprises étaient tenues de déclarer leurs Traitements de données à caractère personnel auprès de la CNIL grâce, notamment, à la procédure de déclaration normale applicable à la majorité des traitements.

Le RGPD supprimant toute formalité déclarative, il renforce en contre-partie la responsabilité du Responsable de traitement, et lui impose la tenue et la mise à jour d’un registre des traitements.

Cette obligation concerne toutes les sociétés mettant en œuvre des traitements récurrents de donnée à caractère personnel à l’occasion de leur activité.

Ce registre est un document interne à l’entreprise permettant la cartographie des traitements. Il doit notamment contenir les informations essentielles concernant les ﬁnalités du traitement, l’identité du responsable de traitement, l’identité du DPO, la durée de conservation des don-nées et la description des mesures de sécurité physique et logique (les moyens techniques et organisationnels de sécurisation des données).

La CNIL à mis en ligne un modèle de registre, mais la forme de celui-ci est libre dans la mesure où les informations essentielles relatives au traite-ment y ﬁgurent.

Voici les actions à mettre en place pour la bonne tenue de ce registre :

• vériﬁer que tous les sous-traitants sont identiﬁés dans le registre ;

• s’assurer du respect des durées de conservation des données en fonction de la ﬁnalité du traitement ;

• mettre à jour le registre à chaque nouveau traitement mis en œuvre et pour chaque modiﬁcation des traitements existants.

Pour être GDPR compliant, Jacob Avocats vous accompagne dans la rédaction et la mise en place de vos process, vos contrats et vos nouveaux axes de prospection commerciale.

pour l’étude des mesures prévues par cette nouvelle réglementation.

Se désinscrire de la newsletter