Les Articles du GDPR / RGPD en langage simplifié

Ce que dit le texte

Les données des citoyens européens sont désormais protégées par différents dispositifs. Si votre organisation a en sa possession des données à caractère personnel concernant des citoyens européens, alors le GDPR vous concerne.

Vous devez donc

Si vous êtes dans l’UE, lisez le reste de ce document et commencez à travailler à vos processus de protection des données.

Vous êtes dans une autre partie du monde ? Oui, le GDPR vous concernera aussi

Vous ne me croyez pas ? Outre les réglementations, le GDPR constitue une approche très pratique de la gestion des différents aspects de la sécurité des données.

Même si vous êtes convaincus que vous n’avez pas l’obligation de le respecter, il n’en reste pas moins que vous devez protéger les données de vos utilisateurs et que la mise en œuvre des dispositions du GDPR vous aidera à faire des progrès à ce niveau.

Ce que dit le texte

Il concerne tout fichier ou base de données contenant le nom d’une personne ou une donnée d’identification.

Vous devez donc

Commencez à répertorier tous les dépôts de données utilisés dans votre entreprise par les services marketing, de recherche, de relation client, assistance, etc.

Présentation du GDPR

Ce que dit le texte

Peu importe le pays où se trouve le disque dur contenant les données : si elles concernent un citoyen européen, le GDPR est applicable.

Vous devez donc

Déterminez où se trouvent vos données et dans quels pays vos ventes ont lieu. Votre appli mobile (même la version gratuite) est-elle disponible sur les marchés européens ? Un employé a-t-il passé une publicité à 20 $ proposant une version d’essai dans un pays de l’UE ?

En savoir plus sur la portée territoriale du GDPR

Ce que dit le texte

Données à caractère personnel – tout élément pouvant être utilisé pour identifier une personne au sein d’un groupe. Cela comprend certainement bien plus de choses que vous ne l’imaginez puisque les auteurs du GDPR considèrent les combinaisons de données comme personnelles. Par exemple, même si le fait d’être gaucher ne permettra pas nécessairement de vous identifier, être un homme gaucher gagnant entre 30 000 et 60 000 € et vivant dans le village de Neung-sur-Beuvron pourrait bien permettre de le faire.

Profilage – le fait d’obtenir des informations sur les préférences ou goûts d’une personne. Permet principalement de prévoir les comportements et actions futures.

Responsable du traitement – si vous lisez ceci, c’est très probablement vous. Ce terme désigne toute personne décidant quoi faire des données collectées. Si c’est votre site Web qui utilise des services de commercialisation ou d’analyse, vous êtes responsable du traitement.

Sous-traitant – c’est généralement l’entreprise à laquelle le responsable du traitement demande d’utiliser les données dans un objectif quelconque. Si vous utilisez Google Analytics pour votre site Web, Google est le sous-traitant étant donné qu’il agit selon vos instructions.

Vous devez donc

Commencez à dresser la liste de toutes les entités extérieures auxquelles vous faites appel à des fins analytiques et commerciales ou dans le cadre de toute autre opération de votre entreprise. Remarque : l’humain aimant stocker ses informations de manière numérique, n’oubliez pas de prendre en compte des services tels que Box, Dropbox, GDrive ou les systèmes de stockage sur site puisqu’ils contiendront indubitablement des fichiers tels que : « Top 10 des problèmes d’assistance les plus courants en 2015 » qui seront bourrés de noms et données d’identification.

Vous souhaiterez aussi procéder au suivi de tout service externe utilisé sur votre site Web, votre hébergeur Web, etc. Il serait dommage que vous vous donniez tout ce mal pour découvrir que les sauvegardes de votre site sont conservées sur un boîtier Pentium accessible par Internet et stocké sous le bureau d’un employé.

La façon dont Paypal a listé la catégorie, la tierce partie concernée, l’objet et les données divulguées à chaque partenaire en est une illustration pertinente : Liste des tierces parties de Paypal

Ce que dit le texte

Les données à caractère personnel doivent rester :

– Exactes et à jour

– Protégées

– Transparentes au niveau de leur utilisation

– Limitées au minimum nécessaire à l’opération

Vous devez donc

• Passez en revue ce que vous faites de toutes les données collectées- Déterminez où vous les avez reçues- Demandez l’autorisation de les utiliser- Mettez en place un plan de suppression des données obsolètes ou périméesConcernant les fichiers non structurés périmés, envisagez d’utiliser une application automatisée telle que Data Transport Engine pour purger en continu les données dangereuses.

Ce que dit le texte

Indiquez ce que vous allez faire de ces données. Limitez-vous à ce que vous avez indiqué, ne faites rien d’autre avec ces données.

Vous devez donc

Sensibilisez tout votre personnel à ce qu’il peut faire ou non avec les données recueillies.

Désignez une personne à contacter et la procédure à suivre en cas de détection d’une violation.

Ce que dit le texte

– Soyez en mesure de prouver que vous avez obtenu le consentement de la personne concernée par les données

– Ne perdez pas les infos de consentement et d’utilisation

– Utilisez un langage clair et soyez précis

– N’utilisez en aucun cas les données pour des opérations pour lesquelles les personnes concernées n’ont pas donné leur consentement

Vous devez donc

• Actualisez tout bulletin d’information ou formulaire de contact en y faisant figurer les informations de consentement et fournissez des liens vers votre Politique de confidentialité et vos Termes de service- Mettez en place une documentation interne reliant les données à ce qui a été autorisé.- Soyez prêt à prouver que vous possédez le consentement des personnes concernées pour les données collectées

Ce que dit le texte

– Seules les personnes de plus de 16 ans peuvent donner leur consentement

– Les personnes de moins de 16 ans devront fournir le consentement de leur parent ou tuteur

– Le champ « indiquez votre date de naissance » figurant sur les bandes annonce de films pour adultes ne fera probablement pas l’affaire.

Vous devez donc

Ajoutez des filtres pour tenir les enfants éloignés et ne procédez pas au suivi des utilisateurs tant qu’ils n’ont pas donné leur consentement

Ce que dit le texte

À moins qu’une autre loi ne l’exige (emploi ou immobilier), ne collectez aucune donnée sur la race, les convictions politiques, la religion, l’adhésion à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle.

Vous devez donc

Examinez les données dont vous disposez actuellement et assurez-vous qu’elles n’appartiennent à aucune de ces catégories et/ou que ces informations ne pourraient pas être déduites à partir des données que vous contrôlez.

Il est également important de prendre en compte des champs de données d’apparence anodine tels que « hobbies » et ce qu’ils pourraient révéler sur une personne.

Ce que dit le texte

À moins que vous ne travailliez pour une organisation juridique, vous ne devez pas conserver de données sur les condamnations ou délits commis par une personne.

Vous devez donc

Si vous êtes un de ces sites de « vérification de casier judiciaire en ligne », vous devrez probablement vous résoudre à fermer et à ouvrir une boutique Etsy vendant des posters de chanteurs.

Ce que dit le texte

Si vous pouvez déclarer en toute bonne foi que vous ne pouvez pas identifier une personne à partir des interactions, vous pouvez le signaler et ne pas effectuer de suivi.

Vous devez donc

Prenons le cas d’une boîte mise à disposition dans un supermarché, dans laquelle les clients peuvent déposer leur avis.

Il s’agit de données. Elles sont collectées. Mais il n’existe aucun lien avec d’autres sources ou moyens d’identification, alors vous pouvez vous passer de consentement.

Ce que dit le texte

Soyez honnête avec les gens, utilisez un langage clair pour décrire ce que vous faites avec leurs données au moment où vous les collectez.

Si des personnes vous demandent quelles données vous possédez sur elles, ne mettez pas plus de 30 jours (à compter du dépôt de la demande) pour répondre.

Si des personnes commencent à vous troller en effectuant un nombre démesuré de demandes, ou agissent de manière abusive, vous pouvez rejeter leur demande (dans les limites du raisonnable) ou leur réclamer une somme modeste en contrepartie.

Si vous suspectez une personne de monter une arnaque en déposant une fausse demande pour le compte d’une personne légitime, vous pouvez lui demander de prouver son identité d’une autre façon.

Fournir des informations au moyen d’icônes normalisées peut être une bonne solution pourvu qu’elles soient lisibles par machine.

Vous devez donc

Faites relire tout document que vous rédigez par une personne sans expérience technique (ou un relecteur professionnel) pour vous assurer que le contenu est clair.

Vous pouvez aussi le vérifier à l’aide d’un outil tel que BlaBlaMeter ou l’Outil de détection marketing WhiterRhino

Mettez en place une procédure pour traiter les demandes de suppression ou correction des données à caractère personnel (tenez compte du délai de 30 jours).

Ce que dit le texte

Dans vos formulaires en ligne (ou toute page sur laquelle vous collectez des données auprès des utilisateurs), indiquez :

– Coordonnées de l’entreprise (et dans l’idéal, celles du Délégué à la Protection des Données)

– Expliquez à quoi les données vont servir

– Précisez à quelles catégories appartiennent les données que vous collectez

– Combien de temps vous allez conserver les données

– Comment vous contacter en cas de problème ou pour supprimer les données

– Indiquez si les données vont servir à du profilage et la logique générale utilisée.

– Vous n’avez à effectuer ceci qu’une seule fois. Si les personnes remplissent un second formulaire 30 secondes après le premier, vous pouvez partir du principe qu’elles n’ont pas encore tout oublié.

Vous devez donc

Fournissez des liens vers votre Politique de confidentialité, vos Termes de service et votre page de communication sur le GDPR (qui devraient contenir la plupart de ces points) sur chaque point d’accès à un formulaire.

Voici quelques exemples pertinents de pages de communication sur le GDPR :

HotJar

Facebook

Ce que dit le texte

Fournissez toutes les informations ci-dessus même si vous ne recueillez pas d’informations à caractère personnel.

Vous devez donc

Voir ci-dessus

Ce que dit le texte

– Les personnes sont autorisées à vous demander si vous détenez leurs données et vous devez leur répondre que ce soit le cas ou non.

– Si leurs données personnelles sont en votre possession, vous devez les leur fournir sur demande en précisant :

– Pourquoi vous les détenez

– Quelles catégories de données personnelles vous possédez

– Qui y a accédé dans votre organisation ou une entreprise tierce partie (en particulier si ces personnes sont dans un autre pays)

– Combien de temps vous prévoyez de conserver leurs données

– Qu’elles peuvent demander la suppression ou la rectification de leurs données

– Auprès de quelle source les données ont été obtenues

– Qu’elles ont le droit de présenter une réclamation à la Commission de l’UE si votre réponse ne leur donne pas satisfaction.

– À moins que quelque chose vous paraisse étrange, fournissez les données par voie électronique

– Au cours de l’opération, ne divulguez pas les données d’autres personnes

Vous devez donc

Soyez en mesure de répondre aux questions indiquées ici concernant les données que vous détenez. En particulier, vous devez connaître leur source, depuis combien de temps vous les détenez, la marche à suivre en cas de problème ou d’erreurs ou si les personnes veulent faire supprimer leurs données.

Si ce n’est pas déjà fait, prenez un client actuel et faites comme s’il vous avait envoyé la lettre de vos pires cauchemars dans laquelle il fait jouer la totalité de ses droits stipulés dans le GDPR.

Ce que dit le texte

Si une personne a trouvé un problème dans les données qui la concernent, vous devez le résoudre.

Vous devez donc

Mettez en place une procédure de traitement des demandes de mise à jour des informations.

Ce que dit le texte

Dans tous les cas suivants, vous devez pouvoir supprimer leurs données de votre système « dans un délai raisonnable », ce qui veut probablement dire en fait sous 30 jours.

– Elles retirent leur consentement et vous n’avez aucun motif juridique de conserver les informations

– Les données ont fait l’objet d’un traitement illégal (utilisation non prévue initialement)

Vous devez donc

Mettez en place une procédure de traitement des demandes de suppression.

C’est généralement ce que l’on appelle Le droit à l’oubli

Ce que dit le texte

Les personnes peuvent demander que vous conserviez leurs données sans les utiliser, si cela se justifie dans le cadre d’une poursuite en justice ou jusqu’à ce que la situation soit éclaircie.

Le concept est le même que lorsque l’on arrête les travaux sur un chantier. Personne ne vous demande de reboucher les fondations ou de retirer les piliers, mais vous ne pouvez pas continuer à poser des planchers ou à procéder au câblage électrique.

Vous devez donc

Mettez en place une procédure de traitement des demandes d’arrêt (interruption) d’utilisation des informations.

Ce que dit le texte

Si vous effectuez des rectifications, suppressions ou limitations (interruption du traitement) en masse, sur les données d’un utilisateur, vous devez le lui dire.

Vous devez donc

Faites attention aux scénarios qui déboucheraient sur une telle situation et exigeraient un préavis. Par exemple, si une personne a trouvé un problème dans votre collecte des données et que vous devez le corriger dans toutes vos données, vous devrez en informer toutes les personnes concernées.

Ce que dit le texte

Les personnes peuvent vous demander les données que vous possédez sur elles

Les données doivent être lisibles sur un ordinateur (CSV, XLS, XML, JSON).

Elles doivent être structurées, et l’ensemble du processus doit si possible être automatisé.

Vous devez donc

Commencez à travailler à des fonctionnalités d’exportation des données afin d’extraire toutes les données associées à un utilisateur de votre système dans un format exportable.

Vous devez traiter les données non structurées ainsi que les données conservées dans les bases de données.

Comment trouver les données concernées par le GDPR dans Word, Excel, Exchange et Sharepoint

Ce que dit le texte

Les personnes peuvent exprimer leur refus de faire l’objet d’un « profilage » visant à cibler les contenus qui leur sont présentés.

Vous devez donc

Mettez en place un système de refus pour arrêter la publicité ciblée, le profilage, etc.

Ce que dit le texte

Les personnes peuvent refuser les décisions totalement automatiques les concernant.

Vous devez donc

Mettez en place un système de vérification manuelle des processus automatisés et notifications

Ce que dit le texte

Chaque pays peut voter des lois modifiant ces réglementations dans quelques cas, notamment lorsque cela concerne la sécurité nationale, etc.

Vous devez donc

Ceci ne vous concerne probablement pas si vous n’êtes pas Ministre de la défense ou Directeur de la lutte contre le terrorisme

Ce que dit le texte

Vous devez documenter ce que vous faites pour respecter le GDPR et être en mesure de le prouver lorsque ce n’est pas immédiatement évident.

Vous devez donc

Conservez un registre des formations, procédures, mesures, etc. mises en place dans le cadre du GDPR.

Ce que dit le texte

Vous ne devez pas collecter plus de données que nécessaire, et vous devez pseudonymiser les données que vous recueillez.

Vous devez donc

Sensibilisez vos équipes à la confidentialité et protection des données dès la conception.

Consultez le Récapitulatif sur la confidentialité dès la conception

et l’article La pseudonymisation comme alternative au chiffrement

Ce que dit le texte

Si vous partagez vos données avec une autre organisation, vous devez convenir ensemble des responsabilités de chacun.

Vous devez donc

Mettez vos accords de partage de données par écrit et définissez clairement les responsabilités.

Ce que dit le texte

Si vous collectez régulièrement des données (et c’est une obligation si vous traitez des données judiciaires ou appartenant à une catégorie spécifique), vous devez désigner une personne en UE qui vous représentera.

Vous devez donc

Faites appel aux services d’une personne résidant dans un pays de l’UE.

Ce que dit le texte

Les services (sous-traitants) que vous (en tant que responsable du traitement) utilisez doivent être conformes au GDPR.

Eux non plus ne sont pas autorisés à placer des données à caractère personnel dans un datacenter situé hors UE ou à les transférer à toute autre tierce partie si vous ne le leur avez pas demandé.

Vous devez donc

Vérifiez que tous les services que vous utilisez respectent le GDPR.

En principe, la plupart des services ont maintenant une page Web indiquant leur statut de conformité au GDPR. Sur votre propre page de conformité au GDPR, vous devez fournir la liste de ces services ainsi qu’un lien vers leur page.

Ce que dit le texte

Les services qui se sont vus confier des données personnelles à des fins de traitement doivent seulement les utiliser conformément aux instructions qu’ils ont reçues.

Vous devez donc

Si vous n’êtes pas sous-traitant, ceci ne vous concerne pas. Si vous êtes sous-traitant, abstenez-vous de vous lancer dans une analyse spéculative des clients, de vendre les données à d’autres fins, etc.

Ce que dit le texte

Vous devez savoir ce que deviennent les données à caractère personnel dans votre organisation et dans tout service les utilisant. Vous devez notamment savoir à quoi elles servent.

Si vous avez moins de 250 employés, et collectez pas de données tous les jours et ne traitez pas de données judiciaires ou appartenant à des catégories spéciales, vous n’avez pas à le faire.

Vous devez donc

Tenez à jour une liste de chaque service (sous-traitant) que vous utilisez et de leurs coordonnées.

Ce que dit le texte

Si l’autorité de contrôle de votre pays demande à voir ce que vous faites pour respecter le GDPR, vous devez le lui montrer.

Vous devez donc

Prenez soin de documenter toutes les étapes que vous avez suivies pour respecter le GDPR.

Plus important encore, vous devez traiter avec sérieux les réclamations des personnes concernant leurs données, car elles pourraient donner lieu à des amendes et enquêtes.

Ce que dit le texte

Vous devez veiller à ce que vos données restent protégées.

– Chiffrées au repos

– Capacité de restauration/reprise après sinistre

– Tests réguliers pour identifier les problèmes de sécurité

– Prise en compte attentive des violations de données et de leur conséquences

Vous devez donc

Mise en œuvre de méthodes de sécurité modernes.

– Stockage sécurisé des données

– Vérification des habilitations

– Plans en cas de violations de données

Ce que dit le texte

À partir du moment où vous avez connaissance d’une violation de données (perte du contrôle des données), vous avez 72 heures pour le signaler à l'[autorité de contrôle](https://blog.varonis.com/gdpr-data-protection-authority-supervisory-listing/)

Vous devez donc

Mettez en place un plan de réponse aux violations de données.

Mettez en place une méthode interne de signalement des problèmes de sécurité.

Ce que dit le texte

Vous devez avertir les personnes concernées « dans un délai raisonnable » si leurs données ont été piratées.

Cela devra probablement être fait dans les 72 heures (conformément au délai fixé par l’autorité de contrôle)

Vous devez donc

Soyez prêt à déployer un plan de gestion des violations de données.

Mettez en place une méthode de notification aux utilisateurs.

Lisez le Guide sur la règle de Notification des violations du GDPR de l’UE

Ce que dit le texte

Avant d’utiliser de nouveaux services pour traiter les données, vous devez déterminer quel en sera l’impact exact sur la sécurité, en particulier ce qu’ils feront des données et s’ils mettront en place un profilage/filtrage en fonction des données.

Vous devez donc

Documentez quel impact pourrait avoir chaque nouveau service sur vos initiatives internes de protection des données.

Ce que dit le texte

Si l’un de vos traitements pourrait exposer les données à un danger, vous devez consulter préalablement l’autorité de contrôle.

Elle vous accordera une autorisation écrite sous 8 semaines. Amusant.

Vous devez donc

Si vous avez par exemple pour projet de publier un ensemble de données « anonymisées » susceptible d’avoir malgré tout un impact sur la confidentialité, vous devez au préalable en obtenir l’autorisation écrite de l’autorité de contrôle.

Ce que dit le texte

Vous devez désigner dans votre organisation un point de contact unique qui prendra en charge les demandes concernant le GDPR.

Vous devez donc

Vous devez désigner un délégué à la protection des données.

Il doit s’agir d’un professionnel compétent spécialisé en sécurité informatique. Il doit être capable de résoudre les problèmes et posséder les outils nécessaires pour répondre aux demandes.

En savoir plus :

Devez-vous faire appel à un délégué à la protection des données ?

Conditions à remplir par le délégué à la protection des données

Ce que dit le texte

Le délégué à la protection des données doit être impliqué dans les tâches de traitement des données et pris au sérieux.

– Il est autorisé à remplir d’autres missions, tant qu’il n’y a pas de conflit d’intérêt.

Vous devez donc

De nombreuses organisations ont déjà un directeur de la sécurité des informations (CISO ou DSI) et il est probable que ce sera souvent lui qui assumera aussi les responsabilités de délégué à la protection des données (DPO / DPD)

Quel que soit le poste occupé, l’important est que les problèmes de sécurité et de confidentialité des données soient pris en compte dans tous les projets menés par votre organisation.

Ce que dit le texte

Il doit conseiller l’entreprise sur la façon de respecter le GDPR en permanence.

Vous devez donc

Ne sous-estimez pas le rôle du délégué à la protection des données.

Ce que dit le texte

Les membres d’un secteur industriel doivent rédiger un code de conduite décrivant comment les dispositions du GDPR doivent être mises en œuvre dans leur secteur d’activité précis.

Par exemple, l’association Pan European Game Information (PEGI) pourrait produire un code de conduite expliquant comment les développeurs de jeux doivent traiter les données qu’ils collectent sur les joueurs. Par la même occasion, le code énoncerait des recommandations sur le contenu des jeux vidéo, concernant le langage employé, la violence et les âges autorisés.

La rédaction de ce code est très pertinente étant donné que les relations de ce secteur avec les données sont très différentes de celles d’autres secteurs tels que la fonderie d’aluminium ou la mécanique automobile.

Vous devez donc

Vous devez vérifier si votre organisation commerciale a publié des codes de conduite.

Des codes de conduite sont encore en cours de développement, et semblent rédigés sur la base du volontariat. C’est un facteur à ne pas perdre de vue car la situation pourrait évoluer ou la conformité pourrait être jumelée à d’autres certifications industrielles ou exigences.

À titre d’exemple, les classifications d’âge PEGI ne sont pas exigées pour les nouveaux jeux vidéo, mais la grande majorité des détaillants ne vendront pas votre jeu si la catégorie d’âge préconisée n’y est pas indiquée.

De la même façon, il est possible que PEGI publie un jour un code de conduite décrivant les normes de protection des données nécessaires pour obtenir la certification.

Ce que dit le texte

Des associations (telles que PEGI dans l’exemple ci-dessus) peuvent procéder au suivi des organisations pour voir si elles respectent le code de conduite qu’elles ont publié.

Vous devez donc

Si un code de conduite existe dans votre secteur, l’association a le dernier mot pour déterminer si vous respectez ou non ses exigences

Ce que dit le texte

Les associations peuvent mettre en place des certifications (une marque d’approbation) pouvant être accordées aux organisations qui respectent les termes du code de conduite

Vous devez donc

Vérifiez si une certification est disponible pour votre organisation.

Ce que dit le texte

Les groupes de certification doivent être approuvés par l’autorité de contrôle.

Vous devez donc

Vérifiez si la certification que vous vous efforcez de respecter a été approuvée par l’autorité de contrôle

Ce que dit le texte

Avant de transférer des données, vous devez obtenir une autorisation.

Vous devez donc

Mettez en place un processus pour documenter les actions et les accords de transfert de données

Ce que dit le texte

Si la Commission déclare qu’un autre pays respecte ses règles, vous n’avez pas besoin d’autorisation pour y transférer des données.

Vous devez donc

Vérifiez les pays concernés avant de conclure des accords de transfert.

Ce que dit le texte

Si vous transférez des données dans un autre pays, il doit appliquer des lois de sécurité des données adaptées et apporter des garanties.

Vous devez donc

Lisez attentivement chaque détail de l’approche de sécurité des données de chaque pays.

Ce que dit le texte

Si une entreprise hors UE souhaite traiter des données européennes, elle peut créer des règles professionnelles contraignantes similaires aux dispositions du GDPR.

Si elles sont appliquées avec rigueur, le transfert de données à cette entreprise hors UE peut être autorisé.

Vous devez donc

Si vous envisagez de travailler avec une entreprise ne répondant pas aux exigences de l’UE / du GDPR, déterminez si elle possède des règles d’entreprise qui pourraient la rendre conforme au GDPR.

Ce que dit le texte

Si un juge ordonne un transfert de données, celui-ci doit respecter le droit international.

Vous devez donc

Cela paraît bizarre d’avoir à l’écrire, mais « n’enfreignez pas les lois internationales »

Ce que dit le texte

Si le pays dans lequel vous transférez les données n’a pas mis en place de règles, vous devez au moins obtenir préalablement l’autorisation de l’utilisateur (ou avoir une autre bonne raison)

Vous devez donc

Si vous respectez les autres directives pour obtenir le consentement de l’utilisateur avant d’agir, vous devriez être couvert pour ceci aussi.

Ce que dit le texte

Les pays doivent s’entendre.

Vous devez donc

Espérez que ce soit le cas, cela faciliterait les choses.

Ce que dit le texte

Les pays doivent surveiller si les entreprises appliquent les règles du GDPR.

Vous devez donc

Vous devez déterminer quelle organisation ou division de votre pays gère l’application du GDPR.

Ce que dit le texte

Les autorités de contrôle ne doivent pas accepter de pot-de-vin ou avoir de conflits d’intérêt.

Vous devez donc

Abstenez-vous de verser des pots-de-vin à votre autorité de contrôle. Ce n’est pas la FIFA.

Ce que dit le texte

Les employés de l’autorité de contrôle doivent être nommés par le gouvernement.

Vous devez donc

Pas besoin de mener une campagne politique, les employés sont désignés, pas élus.

Ce que dit le texte

Il revient à chaque pays de définir les profils de poste et les conditions d’embauche des employés de l’autorité de contrôle.

Vous devez donc

Peaufinez votre CV sur LinkedIn et commencez à regarder les annonces publiées dans La Tribune pour vous lancer dans une nouvelle carrière prometteuse dans la supervision du GDPR.

Ce que dit le texte

Le GDPR implique de maîtriser de nombreux détails techniques (chiffrement, stockage et transfert des données). La personne chargée de superviser ces opérations doit comprendre les concepts en jeu dans le domaine de la sécurité des données.

Vous devez donc

Consultez les Cours de Troy Hunt sur les bases de la sécurité du Web, la sécurité informatique et le plan d’attaque du GDPR.

Ce que dit le texte

Les autorités de contrôle doivent gérer les problèmes qui surviennent principalement dans leur propre pays.

Vous devez donc

Bien que le GDPR concerne l’ensemble de l’UE, vous serez très probablement amené à interagir avec l’autorité de contrôle de votre propre pays.

Ce que dit le texte

Si vous êtes une autorité de contrôle, vous devez écouter les réclamations, encourager la sécurité des données et être une force positive pour la sécurité des données.

Vous devez donc

Aucun élément de cet article ne vous concerne directement, mais le fait qu’il ait été ajouté est une bonne chose.

Cela me donne au moins l’espoir que le rôle des autorités de contrôle ne se limitera pas à appliquer avec rigueur les exigences du GDPR.

Ce que dit le texte

Les autorités de contrôle peuvent envoyer des avertissements aux entreprises, les forcer à signaler les violations de données, retirer des certifications et ordonner la suspension des flux de données.

Vous devez donc

Si vous êtes en communication avec votre autorité, prenez garde, elle peut provoquer d’importants bouleversements dans votre organisation. Écoutez-la.

Ce que dit le texte

Chaque année, vous devez publier un rapport public présentant les actions que vous avez menées.

Vous devez donc

Vous devez faire tout votre possible pour que votre entreprise ne figure pas sur ce rapport.

Ce que dit le texte

En cas de développement d’une nouvelle technologie ou procédure (telle que la télépathie quantique des données cérébrales) sortant du cadre des réglementations actuelles et présentant un caractère urgent, l’autorité de contrôle peut mettre en œuvre une nouvelle réglementation sans passer par le comité.

Vous devez donc

Abstenez-vous d’inventer une nouvelle technologie qui perturbera l’infrastructure de communication et le stockage de données sécurisées de l’économie mondiale. Autrement dit, pas de mise en pratique de l’Informatique quantique.

Ce que dit le texte

La commission fera le nécessaire pour que les autorités de contrôle échangent des informations de manière sécurisée.

Vous devez donc

Découvrez si la Commission a trouvé comment faire tout en respectant le GDPR.

Ce que dit le texte

Il existe désormais un Comité européen de la protection des données (parce que nous l’avons décidé). Chaque pays désigne une personne autorisée à y siéger.

Vous devez donc

Déterminez qui a été désigné dans votre pays et souhaitez-lui bonne chance.

Ce que dit le texte

Le comité est un puissant conseil indépendant qui agit en toute autonomie selon ses propres termes et qui ne s’en laisse compter par personne.

Vous devez donc

Respectez le comité.

Ce que dit le texte

Nous allons rédiger des directives pour vos directives.

Vous devez donc

Lisez les directives.

Ce que dit le texte

Chaque année, un rapport public de nos activités inclura des conseils pratiques et des meilleures pratiques.

Vous devez donc

Lisez ce rapport lorsqu’il sera disponible, il pourrait être vraiment utile et informatif.

Ce que dit le texte

Les décisions sont prises à la majorité simple, mais si vous voulez changer les règles, le vote des deux tiers des membres est nécessaire.

Vous devez donc

Commencez à aligner une super-majorité de représentants si vous voulez apporter des changements majeurs aux dispositions du GDPR.

Ce que dit le texte

Un président et deux adjoints seront élus pour un mandat de 5 ans. 2 mandats autorisés.

Vous devez donc

Trouvez qui est le président du comité et suivez-le sur Twitter.

Ce que dit le texte

Le secrétariat prendra en charge les opérations ordinaires.

Vous devez donc

Ne perdez pas de vue qu’il s’agit d’un poste à responsabilité important occupé par une personne respectée dans une vénérable institution et non le cheval qui a remporté la Triple couronne en 1973.

Ce que dit le texte

Les activités du comité peuvent être confidentielles si elles sont sensibles.

Vous devez donc

Évitez de pirater le comité. Ce serait de mauvais goût.

Ce que dit le texte

Toute personne peut déposer auprès de l’autorité de contrôle une réclamation visant une entreprise en possession de ses données.

L’autorité de contrôle doit prendre cette réclamation au sérieux et tenir l’auteur de la réclamation informée du résultat de l’enquête.

Vous devez donc

Aucune action directe de votre part n’est requise dans le cadre de cet article, mais il montre comment votre organisation pourrait attirer l’attention de l’autorité de contrôle.

Notez en particulier que pour être conforme au GDPR vous êtes tenu d’informer les personnes et de les adresser à l’autorité de contrôle afin qu’elles puissent déposer une réclamation.

– Identifiez l’Autorité de protection des données de votre pays et prenez note des autorités des autres pays au cas où elles vous contacteraient.

Ce que dit le texte

Les personnes peuvent intenter une action en justice contre l’autorité de contrôle si elles ont le sentiment que leur réclamation n’a pas été traitée correctement.

Vous devez donc

Cet article ne vous concerne très probablement pas (il est impensable qu’une autorité de contrôle lise cet article pour obtenir des conseils juridiques).

Toutefois, je pense que cet article montre bien la détermination de la Commission à mettre le GDPR en application.

Il détaille la procédure d’escalade à suivre par les personnes, depuis les organisations > autorités de contrôle > systèmes juridiques, pour protéger leurs données et découvrir comment elles sont utilisées.

Ce que dit le texte

Les utilisateurs ont droit à un recours juridictionnel

Vous devez donc

Impliquez le conseiller juridique de votre entreprise car vous pourriez être traduit en justice parallèlement ou suite à une réclamation.

Ce que dit le texte

Les utilisateurs peuvent constituer une entité juridique à but non lucratif pour mener des actions en justice communes, plus efficaces contre les entreprises (responsables du traitement et sous-traitants).

Vous devez donc

Préparez-vous à recevoir un grand nombre d’e-mails de recours collectif

Ce que dit le texte

Si le responsable du traitement est poursuivi dans un autre pays, l’affaire peut être suspendue dans le pays initial.

Vous devez donc

Bonne chance si vous êtes un responsable du traitement ou un sous-traitant poursuivi simultanément en justice dans plusieurs pays.

Ce que dit le texte

1. Qui peut obtenir réparation ?

Toute personne victime d’une violation de ses droits relatifs aux données (même non touchée directement)

2. Qui est responsable ?

Tout responsable du traitement ou sous-traitant fautif.

3. Des portes de sortie ?

Si vous pouvez prouver que vous n’êtes en aucune façon responsable (et n’avez commis aucune négligence), alors vous ne craignez rien.

4. Comment le dédommagement est-il réparti ?

Lorsque plusieurs entités (responsables du traitement et sous-traitants) sont responsables, chacune d’elle doit assumer le paiement dans sa totalité.

5. Réclamation ?

Une fois qu’un responsable du traitement / sous-traitant a dédommagé l’utilisateur, il est en droit de poursuivre en justice les autres responsables du traitement ou sous-traitants afin de déterminer qui est responsable.

6. Quelle est la juridiction concernée ?

Le pays dans lequel vous êtes.

Vous devez donc

La façon dont vous et votre organisation allez payer les amendes a été mûrement réfléchie dans le GDPR.

La procédure est nettement favorable à la personne qui a présenté une réclamation contre vous.

Ce que dit le texte

Les amendes pour violation seront « efficaces, proportionnées et dissuasives »

Selon le soin que vous avez apporté à la protection des données et à vos efforts pour obtenir le consentement de l’utilisateur, l’amende peut s’élever à plusieurs millions de dollars ou à 2 % de votre chiffre d’affaires.

Vous devez donc

Faites tout ce qui est en votre pouvoir pour respecter le GDPR car c’est ce qui conditionne l’imposition d’amendes.

Le montant de l’amende varie en fonction de ce que vous faites des données, des contrôles mis en place, de la documentation, des processus, etc.

Ce que dit le texte

Les pays peuvent ajouter des amendes supérieures à ce qui est stipulé dans le GDPR.

Vous devez donc

Sortez le carnet de chèques.

Ce que dit le texte

Les règles des autorités de contrôle ne peuvent aller à l’encontre de la liberté d’expression des journalistes, universitaires ou artistes.

Vous devez donc

Si vous traitez des données présentant un intérêt public, examinez de plus près vos procédures de traitement des données.

Ce que dit le texte

Les gouvernements et entités doivent pouvoir accéder à vos informations si elles sont d’intérêt public.

Vous devez donc

N’espérez pas faire annuler votre contravention en invoquant le droit à l’oubli.

Ce que dit le texte

Chaque gouvernement doit définir des règles régissant le traitement du numéro d’identification national

Vous devez donc

Traiter les informations d’identification de votre propre pays en tant qu’informations personnelles et sensibles ne suffit pas. Vous devez trouver et signaler toute donnée d’identification de chaque pays de l’UE.

Ce que dit le texte

Les gouvernements peuvent imposer des lois plus spécifiques en ce qui concerne les relations de travail.

Vous devez donc

Il est fort possible que le service des ressources humaines de votre organisation conserve les données sur le personnel dans un système séparé de vos données utilisateur. Il possède son propre ensemble de règles d’accès et de procédures dans le cadre du GDPR.

Ce que dit le texte

Il est possible de mettre en place un archivage dans l’intérêt du public, mais il doit être protégé de manière adaptée

Vous devez donc

On ne sait pas encore clairement quelles seront les limites imposées pour l’archivage des données dans l’intérêt du public.

Mais si vous travaillez dans un domaine protégé, il est probable que l’autorité de contrôle le saura.

Ce que dit le texte

Les agences de renseignement ont leurs propres ensembles de règles

Vous devez donc

Cet article ne vous concerne très probablement pas (car il est impensable qu’une autorité de contrôle lise cet article pour obtenir des conseils juridiques).

Toutefois, je pense que cet article montre bien la détermination de la Commission à mettre le GDPR en application.

Il détaille la procédure d’escalade à suivre par les personnes, depuis les organisations > autorités de contrôle > systèmes juridiques, pour protéger leurs données et découvrir comment elles sont utilisées.

Ce que dit le texte

Les institutions religieuses font l’objet de dérogations spéciales

Vous devez donc

Si vous êtes une église, une mosquée ou une autre organisation religieuse, les lois en vigueur sur la confidentialité des données auxquelles vous êtes soumis s’appliquent en plus du GDPR.