GDPR

GDPR: qu’est-ce que c’est?


Ce guide GDPR fournit les premiers éléments pour traiter efficacement le sujet et s’orienter au milieu de la mer des offres et articles parus ces derniers mois.
Le GDPR (règlement général sur la protection des données) ou RGPD (règlement général sur la protection des données) rend homogène la protection des données à caractère personnel des citoyens de l’UE. Il commencera à prendre effet le 25 mai 2018.
La principale référence réglementaire est le Règlement UE 2016/679 qui, en Italie, abrogera les dispositions du Code pour la protection des données personnelles (dlgs.n. 196/2003).
Toujours en Italie, l’autorité italienne de protection des données fournit des lignes directrices pour l’interprétation du GDPR, ainsi que des ressources utiles. Cette autorité est également chargée de veiller au respect de la réglementation par les organisations et les particuliers.

Les obligations pour les entreprises et PAs

En raison des lourdes pénalités introduites (jusqu’à 4% du chiffre d’affaires total), il est bon de connaître la réglementation.
Pour mieux comprendre les obligations, nous présentons les concepts suivants:

  • Sujets de la vie privée

    • Intéressé: la personne physique à laquelle les données personnelles font référence
    • Distributeur: employé ou collaborateur qui traite ou utilise les données pour le compte du propriétaire
    • Propriétaire: la personne physique, l’institution, l’association, etc. sur lequel le traitement des données est basé
  • Types de données

    • Personnel: données permettant l’identification de l’individu auquel elles se réfèrent (ex: nom, prénom, adresse, etc.)
    • Sensible: ce sont les données qui nécessitent une plus grande prudence telles que les convictions politiques, l’origine ethnique, les convictions politiques ou religieuses, etc.
    • Judiciaire: données révélant l’existence de mesures judiciaires soumises à l’inscription au registre pénal (par exemple condamnations pénales définitives, mesures alternatives de détention, etc.)

Les principales obligations introduites par le GDPR sont résumées ci-dessous:

  • Évaluation de l’impact de la protection des données ou de l’évaluation des facteurs relatifs à la vie privée (ÉFVP): évaluer périodiquement les risques associés à la gestion de la vie privée, aux mesures d’atténuation adoptées et aux plans de reprise après sinistre.
  • Rédaction d’un registre de traitement: c’est-à-dire, garder la trace des données dont vous disposez, avec quels droits, pour combien de temps et dans quel but
  • Communication en temps utile en cas de violation de données à l’autorité compétente et à la partie intéressée conformément aux dispositions des lignes directrices du garant de la vie privée.
  • Garantir le droit à l’annulation, la restriction, la rectification des données, face une demande de l’intéressé
  • Nomination d’un délégué à la protection des données ou d’un délégué à la protection des données (DPD)
  • Assurer la portabilité des données

Comment faire face au GDPR

Pour traiter correctement le GDPR et être conforme, il est nécessaire de partir de l’analyse d’impact ou de l’EIP. Cette activité doit impliquer l’organisation à tous les niveaux et peut également être l’occasion d’améliorer les processus métier si elle est effectuée correctement.

Ensuite, une analyse des écarts doit être réalisée, comparant les résultats de l’ÉFVP (l’état actuel) aux exigences de la réglementation sur la vie privée et élaborant un plan d’amélioration (au besoin) en termes de processus, de compétences et de technologies. Il existe également plusieurs solutions technologiques utiles pour le support de la gestion de la vie privée.
JS Italie aide les organisations à maitriser le GDPR, à la fois avec des activités de conseil et avec la fourniture de solutions technologiques à travers ses partenaires. En ce sens, nous vous recommandons de consulter notre offre GDPR ou contactez-nous directement pour en savoir plus sur les sujets abordés dans ce guide GDPR.