Gestion de mes données personnelles et RGPD, quelles sont les obligations des entreprises ?
Depuis son entrée en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) vous confère de nombreux avantages. Il vous permet une gestion plus facile de vos données personnelles, il a également pour objectif de renforcer leur protection.
Le RGPD impose donc de nouvelles obligations aux entreprises qui collectent et stockent vos données.
Nous vous dévoilons les 4 principales.
1 – Une obligation de sécurisation appropriée
Une entreprise collectant des données personnelles a l’obligation légale d’assurer leur sécurité. Les mesures de protection mises en place doivent être proportionnelles au degré de sensibilité des données. Elles doivent aussi l’être en fonction de l’importance des conséquences que leur violation pourrait engendrer pour les personnes concernées.
Si l’organisation fait appel à un ou plusieurs sous-traitants, elle doit également s’assurer que ces derniers garantissent suffisamment la protection des données qui leur sont transmises.
2 – Un accès restreint à vos données personnelles
Les organisations ont l’obligation de respecter le principe de minimisation des données. C’est-à-dire ne recueillir que les données à caractère personnel nécessaires à l’atteinte de l’objectif pour lequel elles les collectent.
Elles doivent donc se contenter du strict minimum. Elles ne pourront pas vous demander plus d’informations à votre sujet que celles dont elles ont besoin pour le but affiché.
Si les entreprises doivent mettre en place des mesures techniques afin d’assurer la protection de vos données comme évoqué précédemment, cette sécurisation doit aussi passer par des dispositions organisationnelles. Elles peuvent se manifester en limitant l’accès aux personnes habilitées ayant un rôle dans leur traitement, et ne pas les conserver au-delà des limites de temps nécessaires.
3 – Des analyses fréquentes
Lorsqu’une organisation souhaite mettre en place un traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple impliquant des données sensibles, des personnes “vulnérables”, aboutissant à des évaluations, des notations, ou bien établissant une surveillance systématique), celle-ci doit effectuer une analyse d’impact relative à la protection des données (AIPD).
Il s’agit d’évaluer tous les risques en cas de vol, perte, altération ou encore effacement accidentel des données. Cette analyse a pour objectif d’aboutir à la mise en place de mesures appropriées de protection des données conforme au RGPD.
Cette analyse doit être révisée régulièrement (au moins tous les 3 ans) afin de conserver un bon niveau de sécurité malgré d’éventuelles évolutions.
4 – Vous informer et vous tenir informé de la gestion de vos données personnelles
Une organisation subissant une violation de données personnelles doit la notifier à la CNIL (Commission nationale de l’informatique et des libertés, autorité administrative française) dans un délais de 72 heures. Dans le cas où la violation en question peut induire d’importants risques pour les personnes dont les données sont impactées, ces dernières doivent également être informées.
Ces nouvelles exigences prescrites par le RGPD permettent donc d’assurer la protection de vos données personnelles en imposant aux organisations un certain niveau de sécurisation. Mais elles permettent également un accès restreint à celles-ci, ainsi qu’un devoir de notification en cas d’incident indépendamment des mesures mises en place.
En plus de les sécuriser, les entreprises ont aussi le devoir de vous permettre d’exercer vos droits RGPD afin de gérer vos données. Ces droits sont le droit d’accès, le droit d’effacement, le droit de rectification, le droit d’opposition…
Vous souhaitez en savoir plus sur Fair&Smart et nos solutions de gestion de données personnelles, cliquez sur le bouton ci-dessous :
Rejoignez-vous sur les réseaux sociaux :
