EN / FR

Accountability at the times of GDPR

Posté le 27 juin 2018

 

 

 

 

 

 

 

 

L'obligation de rendre compte à l’ère du RGPD

 

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur et de nombreuses déclarations de confidentialité mises à jour ont commencé à remplir nos boîtes aux lettres électroniques. Beaucoup se sont demandé si le règlement s'appliquerait aux entités suisses et, même si la réponse semble généralement positive, nous recommandons toujours une analyse au cas par cas.

Mais allons plus loin. Que se passe-t-il après avoir résolu un tel doute ? Que signifie la notion de conformité RGPD ?

Les entreprises et les administrations publiques du monde entier ont entamé depuis longtemps leur course au respect de la réglementation RGPD, en mettant en œuvre des concepts tels que la désignation d'un délégué à la protection des données, le droit d'être oublié et l'obligation de notifier toute violation dans les 72 heures.

Toutefois, l'un des changements majeurs introduits par le RGPD est la consécration du principe de responsabilité (voir article 5 § 2 du RGPD) pour lequel le responsable du traitement des données est activement responsable du traitement des données à caractère personnel. Le responsable du traitement n'est pas seulement responsable de la conformité au règlement, mais il doit également être en mesure de prouver cette conformité, en renversant la charge de la preuve sur les organisations.

Le principe de responsabilité va de pair avec l'approche fondée sur le risque du règlement, selon laquelle le responsable du traitement doit évaluer de manière objective la probabilité et la gravité des risques auxquels les droits des personnes concernées sont exposés pendant le traitement. Le responsable du traitement devra donc mettre en place des systèmes de contrôle pour s'assurer que le traitement reste conforme pendant toute sa durée et en conserver la preuve. Pour ce faire, le responsable du traitement devrait tenir un registre électronique des activités de traitement effectuées sous sa responsabilité. De plus, alors que le responsable de traitement suisse dispose d'une entité représentative dans l'UE (voir article 27 du RGPD), ce registre de traitement doit, sur demande, être mis à la disposition des autorités de protection des données du Pays où cette entité se trouve.

Si le RGPD semble laisser plus de latitude au responsable du traitement pour décider de la manière de protéger les données, cette plus grande liberté s'accompagne de la charge de démontrer les motivations qui ont conduit à l'adoption d'une décision spécifique, ainsi que de documenter les choix effectués. Par conséquent, il semble fondamental pour les entreprises d'identifier les obligations en matière de protection de la vie privée afin d'éviter d'encourir les lourdes amendes prévues par le règlement.

Notre équipe est à votre disposition pour évaluer vos besoins en matière de conformité, pour mettre en place un programme ad hoc de protection de la vie privée de vos clients et pour compiler un registre de traitement des données pour votre organisation. Faites notre test en ligne pour voir où se situe le niveau de protection de la vie privée de votre organisation et contactez-nous pour une Solution sur mesure afin d'assurer votre conformité avec le RGPD.