Dès le moment où vous traitez des données à caractère personnel, vous tombez dans le champ d’application du GDPR.

Ce chapitre aborde les grands principes du GDPR dont vous devez tenir compte. Il n’y a pas que les grandes multinationales ou les services commerciaux qui sont concernés. Les administrations publiques aussi. Et elles doivent se montrer exemplaires en la matière vis- à-vis du citoyen dont elles traitent les données personnelles au quotidien.

VOUS ÊTES RESPONSABLE !

Non seulement vous devez faire en sorte de vous conformer au GDPR, mais vous devez aussi démontrer que vous avez pris toutes les mesures appropriées. Vous ne pouvez donc pas vous reposer simple- ment sur vos sous-traitants.

REGISTRE DES DONNÉES ET ÉTUDE D’IMPACT

En tant que responsable ou sous- traitant du traitement des données, le GDPR vous impose de tenir un registre qui mentionne le type de données, les finalités de ce traitement, les personnes concernées, la durée de conservation, les mesures de sécurité mises en place, etc.
Les données sont souvent dispersées auprès de différents services et sur divers supports (ordinateur, clé USB, serveur dans le cloud, dossiers papier…). Aucun de ces supports ne doit être oublié. En ce qui concerne les données dites sensibles, vous devez aussi réaliser une étude d’impact, notamment sur les risques encourus dans le stockage ou le traitement de ces données.

C’est un règlement européen qui fixe un nouveau cadre pour la protection et l’échange de données à caractère personnel. Il sera d’application de manière identique, le même jour, dans tous les pays membres de l’Union européenne.

PRINCIPE

La base du GDPR est la protection des citoyens et la trans- parence sur ce qui est fait avec leurs données personnelles. La nouveauté réside dans le concept d’accountability, c’est- à-dire la responsabilisation des organisations qui traitent de telles données.

Elles doivent informer et obtenir le consentement des personnes lorsqu’elles récoltent des données les concernant.

• Informer via une ‘Charte vie privée’ qui explique, dans un langage clair et compréhensible, quels types de données sont récoltées, à quelles fins, combien de temps elles seront conservées et à qui elles seront éventuellement transmises.

• Le GDPR maintient le consentement préalable du citoyen, mais ajoute la notion de consentement éclairé et univoque. Il vous faut aussi conserver la preuve de ce consentement car, en cas de plainte, vous devrez prouver à l’autorité de contrôle que vous l’avez obtenu.

Fini donc de se partager des fichiers entre collègues pour envoyer une newsletter ou des invitations à un vernissage.

Qu’est-ce qu’une donnée à caractère personnel ?

Toute information qui permet d’identifier directement ou indirectement une personne physique.

PAR EXEMPLE : nom, prénom, adresse, numéro de téléphone, numéro de compte en banque ou de carte de crédit, numéro de Registre national, adresse IP, plaque d’immatriculation, dossier médical, login et mot de passe, etc.