Le règlement européen général sur la protection des données (RGPD) repose sur deux principes clés. Donner aux citoyens et aux résidents plus de contrôle sur leurs données personnelles. Simplifier la réglementation pour les entreprises internationales grâce à une réglementation unificatrice applicable dans toute l’Union européenne (UE). Il est important de garder à l’esprit que le RGPD s’applique à toute entreprise établie dans l’UE et peut s’appliquer à des sociétés basées en dehors de l’UE qui traitent les données à caractère personnel des citoyens européens dans certaines circonstances.
Vue d’ensemble du RGPD
Les entreprises dont les activités impliquent un contrôle « régulier ou systématique» des personnes concernées à grande échelle (en d’autres termes, le traitement de nombreuses informations personnelles), ou qui traitent de gros volumes de «données de catégorie spéciale» doivent faire appel à un délégué à la protection des données (DPO). Leur rôle sera de s’assurer que l’entreprise respecte les obligations du RGPD. Ils seront également le contact pour toutes les questions de protection des données. Le RGPD peut s’appliquer à toute entreprise qui traite les données à caractère personnel de citoyens de l’UE, y compris ceux comptant moins de 250 employés. Les violations graves (c’est-à-dire toute violation ayant une incidence sur les droits des personnes concernées) doivent être signalées à l’autorité de réglementation. Cela devrait se faire dans les 24 heures si possible, mais au moins dans les 72 heures. Le rapport doit inclure des informations sur les causes de la violation, son contenu et les prochaines étapes prévues.
Les particuliers auront davantage de droits sur la manière dont les entreprises utilisent leurs données. Dans certains cas, ils ont le droit d’être oubliés s’ils ne veulent plus que vous traitiez leurs données personnelles et que vous n’avez aucun autre fondement juridique (par exemple, la personne n’est plus un client, votre contrat avec eux ne vous donne plus un droit légal) de conserver les données Le non-respect entraînera des pénalités plus sévères. Le RGPD autorise des amendes pouvant aller jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires annuel, selon le montant le plus élevé.
Liste de contrôle RGPD pour les petites entreprises
N’oubliez pas que DPO doit prendre en compte les employés et fournisseurs passés et actuels, ainsi que les clients (et les données de toute autre personne que vous traitez, notamment la collecte, l’enregistrement, le stockage et l’utilisation des données personnelles). Vous devez démontrer une compréhension des types de données personnelles (nom, adresse, email, coordonnées bancaires, photos, adresses IP, etc.) et de données sensibles (ou de catégorie spéciale) (informations sur la santé ou opinions religieuses) que vous détenez, où ils viennent, où ils vont et comment vous utilisez ces données. Par ailleurs, le consentement doit être clair, spécifique et explicite. Pour cette raison, vous devriez éviter de vous fier au consentement sauf en cas de nécessité absolue.
Lisez attentivement vos mesures et politiques de sécurité. Vous devez les mettre à jour pour les rendre compatibles avec le RGPD pour petites entreprises selon dpo consulting. Si vous n’en avez pas, mettez-les en place. Le recours généralisé au cryptage pourrait être un bon moyen de réduire la probabilité d’une pénalité importante en cas de violation. Préparez-vous à répondre aux demandes d’accès dans un délai d’un mois. Les droits d’accès des sujets changent et, en vertu du RGPD, les citoyens ont le droit d’accéder à toutes leurs données personnelles, de rectifier tout ce qui est inexact et de faire l’objet d’un traitement dans certaines circonstances, ou d’effacer complètement toutes leurs données personnelles que vous détenez. Chaque demande est assortie d’un délai d’un mois (qui ne peut être prolongé que dans des circonstances atténuantes), à compter de la date de la demande initiale.
Formez vos employés et signalez une infraction grave dans les 72 heures. Assurez-vous que vos employés comprennent ce qui constitue une violation de données à caractère personnel et établissez des processus pour détecter les signaux d’alerte. Il est également important que toutes les personnes impliquées dans votre entreprise soient conscientes de la nécessité de signaler toute erreur au DPO ou à la personne ou l’équipe responsable de la conformité à la protection des données, car il s’agit de la cause la plus courante de violation de données.