La mise en place d’un registre de traitement des données à caractère personnel suffit pour répondre aux exigences du RGPD.
Faux :
afin de déterminer les actions de conformité et de les prioriser au sein d’un plan de mise en conformité, l’entreprise doit procéder à une analyse juridique des traitements inventoriés, en vérifiant si les traitements de données personnelles mis œuvre répondent aux conditions posées par le RGPD. Par exemple, il faut porter une attention particulière sur :
- le principe de minimisation des données (seules les données strictement nécessaires au traitement sont collectées et traitées),
- les modalités de collecte du consentement et de transparence (vérifier les mentions d’informations et clauses contractuelles relatives aux traitements de données personnelles mis en œuvre dans le cadre des relations avec les salariés, les clients et les fournisseurs ou partenaires de l’entreprise : à défaut de consentement des personnes concernées, il faudra vérifier si une autre base juridique peut justifier le traitement, comme le contrat, une obligation légale ou un intérêt légitime par exemple),
- la mise en place d’une procédure de gestion des réclamations ou demandes relatives à l’exercice des droits des personnes (droit d’accès, de rectification, d’opposition, de suppression, droit à la portabilité),
- les mentions obligatoires dans les contrats avec les sous-traitants,
- ou encore les mesures (organisationnelles, techniques) visant à garantir la sécurité des données pour éviter la destruction, la perte, l’altération ou la divulgation non autorisée des données.
Je dois prêter une attention particulière aux traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées.
Vrai :
Lorsqu’un traitement est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées, il est obligatoire de réaliser une analyse d’impact. Ce document, qui dans certains cas doit être communiqué à la CNIL, contient une présentation détaillée du traitement concerné et des mesures envisagées par l’entreprise pour limiter la réalisation des risques. Les « guides DPIA » de la CNIL proposent une méthode pour réaliser cette analyse et la formaliser.
Selon la CNIL, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact : l’évaluation ou scoring (y compris le profilage lorsqu’il est fondé sur un traitement automatisé et qu’il a des effets juridiques sur la personne), la décision automatique avec effet légal ou similaire, la surveillance systématique (vidéosurveillance par exemple), la collecte de données sensibles (données biométriques, données d’infractions, données relatives à l’origine raciale ou ethnique, aux idées politiques ou croyances religieuses, à l’orientation sexuelle…), la collecte de données personnelles à large échelle, le croisement de données, la collecte de données de personnes vulnérables (patients, personnes âgées, enfants, etc.), l’usage innovant (utilisation d’une nouvelle technologie), l’exclusion du bénéfice d’un droit/contrat.
La CNIL met à disposition sur son site un logiciel dont l’objet est de faciliter la formalisation d’une analyse d’impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil