Dès le moment où vous traitez des données à caractère personnel, vous tombez dans le champ d’application du GDPR.

Ce chapitre aborde les grands principes du GDPR dont vous devez tenir compte. Il n’y a pas que les grandes multinationales ou les services commerciaux qui sont concernés. Les administrations publiques aussi. Et elles doivent se montrer exemplaires en la matière vis- à-vis du citoyen dont elles traitent les données personnelles au quotidien.

VOUS ÊTES RESPONSABLE !

Non seulement vous devez faire en sorte de vous conformer au GDPR, mais vous devez aussi démontrer que vous avez pris toutes les mesures appropriées. Vous ne pouvez donc pas vous reposer simple- ment sur vos sous-traitants.

REGISTRE DES DONNÉES ET ÉTUDE D’IMPACT

En tant que responsable ou sous- traitant du traitement des données, le GDPR vous impose de tenir un registre qui mentionne le type de données, les finalités de ce traitement, les personnes concernées, la durée de conservation, les mesures de sécurité mises en place, etc.
Les données sont souvent dispersées auprès de différents services et sur divers supports (ordinateur, clé USB, serveur dans le cloud, dossiers papier…). Aucun de ces supports ne doit être oublié. En ce qui concerne les données dites sensibles, vous devez aussi réaliser une étude d’impact, notamment sur les risques encourus dans le stockage ou le traitement de ces données.