Être guidé par un consultant GDPR
En raison des mesures opérationnelles qui y sont associées, le GDPR est fortement lié aux TIC. Néanmoins, il s’agit essentiellement d’un processus dans lequel la gouvernance (conseil d’administration) joue un rôle crucial. « La réglementation exige qu’une entreprise prenne des mesures en fonction des risques. L’Europe ne prescrit aucune mesure concrète à cet égard, mais oblige les entreprises à évaluer et à couvrir correctement les risques.
C’est précisément la raison pour laquelle de nombreuses entreprises se posent encore des questions sur le GDPR. En résumé, la direction de l’entreprise doit être consciente des risques. Par conséquent, la direction générale doit fournir à l’organisation les ressources dont elle a besoin pour protéger les données.
Il s’ensuit automatiquement que la direction opérationnelle de l’entreprise doit également être en mesure d’estimer les risques. Une coopération étroite entre les TIC et le service juridique de l’entreprise est donc impérative. Cette coopération sera nécessaire. Le service informatique au niveau opérationnel n’est généralement pas toujours familiarisé avec les aspects juridiques de l’utilisation et de la sécurité des données.
Dans le même temps, il est nécessaire de sensibiliser davantage les utilisateurs finaux. En fin de compte, ce sont ces personnes qui travaillent avec les données. Ils ont besoin d’en savoir plus sur les menaces éventuelles et la vulnérabilité des données. En d’autres termes, le département des ressources humaines a également un rôle à jouer, par exemple par le biais de la formation des employés.
Base juridique du traitement conformément à la législation GDPR
Le GDPR attache une grande importance à la légalité, à la proportionnalité et à la transparence en ce qui concerne la collecte et le traitement des données personnelles et les droits des personnes concernées.
Exigence de légalité
Le GDPR prévoit qu’avant de traiter les données à caractère personnel, le responsable du traitement doit clairement déterminer la finalité et indiquer à quelles fins il utilise les données.
Il est donc important que vous fassiez un bon inventaire et que vous décriviez les raisons pour lesquelles vous allez collecter et traiter, par exemple, les données relatives aux membres et aux utilisateurs. Vous ne pouvez pas simplement modifier ou étendre les objectifs au cours du processus de traitement.
Le GDPR énumère également certaines finalités légales qui justifient le traitement :
* Base contractuelle (nécessaire à l’exécution d’un accord, par exemple un contrat de travail)
* Obligation légale (nécessaire à l’exécution d’une obligation légale, par exemple imposée par un décret)
* Intérêt public ou autorité publique (attribuée par la loi, par exemple à la police)
* Importance vitale (par exemple, pour des raisons médicales urgentes)
* Intérêt légitime (l’activité n’est pas réalisable autrement), uniquement si cela l’emporte sur l’intérêt, les droits et les attentes raisonnables en matière de respect de la vie privée des personnes concernées.
* Consentement sans ambiguïté (consentement libre, actif et spécifique des personnes concernées)
Pour chaque base juridique, il convient de veiller à ce que les données soient limitées au minimum afin de respecter le traitement. Par exemple, dans un contrat de travail, l’orientation sexuelle n’a généralement pas d’objet ou de raison d’être.
L’intérêt légitime et le consentement sans ambiguïté ne peuvent être utilisés que si les autres objectifs juridiques ne s’appliquent pas. Par exemple, les employeurs doivent d’abord se fonder sur une obligation légale ou contractuelle et ce n’est qu’en dernier recours et à titre exceptionnel (même si cela peut être contesté) qu’ils peuvent se fonder sur la permission ou l’intérêt légitime. (par exemple, avec vérification du courrier électronique)
Test de proportionnalité
Veillez à ce que chaque décision et mesure que vous prenez soit soumise au test de proportionnalité ou, en d’autres termes, posez toujours la question suivante lors du traitement ;
« Est-il vraiment nécessaire, compte tenu de notre objectif, de : »
collecter et traiter ces données ?
Existe-t-il d’autres moyens ?
de conserver ces données aussi longtemps ?
de donner à toutes ces personnes l’accès aux données ?
de continuer à associer ces données à une personne spécifique, ou pouvons-nous les pseudonymiser ou mieux les rendre anonymes ?
Transparence (pour les personnes physiques)
Conformément au principe de transparence, l’information et la communication avec les personnes concernées dans le cadre du traitement des données à caractère personnel doivent :
être concis, simple, accessible et compréhensible ;
Un langage clair et simple doit être utilisé.
Lors de la communication avec les personnes concernées par le sujet :
l’identité du contrôleur ;
lors de la demande d’autorisation de traitement ;
ainsi que dans les descriptions des cibles ;
en sensibilisant aux risques, aux règles et aux garanties ;
l’existence du profilage et ses conséquences ;
expliquer leurs droits
Pour le traitement spécifique des données relatives aux enfants, dans un langage clair et simple que l’enfant peut facilement comprendre.
