RGPD – Pack responsable de traitements
Word
1 page
Certifié par nos experts juridiques
Description courte :
Ce document a été rédigé, puis est maintenu à jour par :
L'équipe juridique Comod
Le 25 mai 2018, le règlement européen n° 2016/679 du 27 Avril 2016, dit règlement général sur la protection des données (General Data Protection Regulation dit RGPD) sera directement applicable dans toute l’Union européenne.
Les anciennes formalités préalables de déclarations de traitements auprès de la CNIL vont être supprimées et seront remplacées par d’importantes obligations incombant aux responsables de traitements.
A ce titre, ils devront notamment assurer une protection totale des données et être en mesure de démontrer leurs actions à tout instant. Un responsable de traitement est défini à l’article 4 du règlement comme celui qui détermine les finalités et les moyens d’un traitement.
Suite à l’évolution des technologies d’information et des moyens de communication, la majorité des organismes et entreprises utilise des traitements de données personnelles et se voit ainsi attribuer la catégorie de responsable de traitement.
Afin de bénéficier d’un degré maximal de protection des données, il convient de prendre en compte l’ensemble des évènements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (faille de sécurité́, gestion des demandes de rectification ou d’accès, changement de prestataire etc.) et notamment :
-
Veiller à la protection des données personnelles dès la phase de conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la fonctionnalité́, cookies, durées de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité́ des données, s’assurer du rôle et de la responsabilité́ des acteurs impliqués dans la mise en œuvre de traitements de données) en s’appuyant sur les conseils du délégué́ à la protection des données ;
-
Mettre en place un processus de remontée d’information en élaborant notamment un plan de formation et de communication auprès de vos collaborateurs ;
-
Répondre aux demandes des personnes concernées par le traitement quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité́, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données sont préalablement collectées par ce moyen) ;
-
Prévoir en amont les violations de données en notifiant notamment dans certains cas à l’autorité́ de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
Ce document juridique comporte ainsi une consultation juridique, deux types d’avenants de contrat, un modèle de registre de traitement de données personnelles et un modèle de mentions obligatoires à faire figurer en bas de chacun de vos formulaires de collectes.
Pourquoi protéger efficacement sa responsabilité en tant que responsable de traitement ?
Toute entreprise qui met en œuvre en son sein un ou plusieurs traitements de données personnelles doit désigner un responsable de traitement.
C'est à celui-ci qu'il appartient de mettre en œuvre toutes les mesures appropriées pour démontrer que le ou les traitements dont il a la responsabilité sont effectués en conformité avec le Règlement Général sur la Protection des Données.
Comment protéger efficacement sa responsabilité en tant que responsable de traitement ?
Afin de garantir votre sécurité juridique en tant que responsable de traitement ce Pack Responsable de traitements contient :
-
Une consultation juridique afin de vous renseigner sur vos obligations légales en tant que responsable de traitement, et les étapes pour éviter de lourdes sanctions administratives en cas de manquement à ces obligations. L’entreprise souhaitant s’assurer de sa sécurité juridique devra notamment désigner un délégué à la protection des données, faire l’inventaire des traitements de données personnelles utilisés, identifier les actions à mener, gérer les risques, mettre en place nombre de procédures internes permettant de veiller à la protection des données, de mettre en place un processus de remontée d’information, de répondre aux demandes des personnes concentrées par le traitement et de prévoir en amont les violations de données et enfin constituer la documentation nécessaire pour se justifier devant toute autorité compétente ;
-
Deux types d’avenants de contrat aux choix afin de vous conformer à la nouvelle règlementation européenne, à ajouter à tous vos contrats de sous-traitance de traitements de données personnelles :
-
L’avenant 1 « faible autonomie sous-traitant » est à utiliser dans le cadre d’une relation contractuelle récente avec votre partenaire, lui imposant de se conformer à vos instructions sans aucune marge de manœuvre ;
-
L’avenant 2 « forte autonomie sous-traitant » est à utiliser dans le cadre de relations contractuelles de confiance avec votre partenaire lui donnant une grande autonomie d’action pour vous assister dans l’acquittement de vos obligations légales ;
-
Un modèle de registre de traitements de données personnelles que vous êtes tenu de tenir en tant que responsable de traitement selon le règlement européen ;
-
Un modèle de mentions obligatoires à faire figurer au bas de chacun de vos formulaires de collecte de données personnelles.
L’ensemble de ces documents vous permettra de prendre conscience de la modification opérée par le règlement européen relatif aux données personnelles, renforçant l’ensemble des obligations incombant aux responsables de traitement.
Également, il vous fera prendre conscience du fait que le manquement à ces obligations pourra entrainer des sanctions administratives très importantes.
Les deux avenants vous permettront de modifier vos contrats de sous-traitance de données en cours.