La lettre d'Option Droit & Affaires

IP/IT

De manière très pratique, les actions à prendre pour se conformer au RGPD

Lettre Option Droit & Affaires - 10 janvier 2018 - Danhoé Reddy-Girard

Le règlement européen n° 2016/679 du 27 avril 2016, ou règlement général sur la protection des données, (le «RGPD»), entrera en vigueur le 25 mai 2018. Les entreprises qui ne s’y conforment pas s’exposent à des amendes administratives pouvant s’élever jusqu’au montant le plus élevé entre 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Par Danhoé Reddy-Girard, associé, Gowling

Le présent article a pour but de décrire de manière très pratique les actions que doit prendre, pour se conformer au RGPD, une entreprise établie en France qui serait actuellement en conformité avec la loi n° 78-17 du 6 janvier 1978.

Registre(s)

L’entreprise devra tenir un registre des traitements de données à caractère personnel (ci-après, les «traitements») dont elle est responsable du traitement. Le modèle de registre proposé par la Commission nationale informatique et libertés (la «CNIL») comprend une liste de traitements et une fiche descriptive pour chaque traitement. Chaque fiche de traitement doit indiquer notamment ses finalités, les catégories de personnes concernées (expression désignant les personnes physiques dont les données à caractère personnel sont traitées), les catégories de destinataires et leur pays et, «dans la mesure du possible», les délais prévus pour l’effacement des différentes catégories de données.

Il est recommandé d’identifier les traitements en utilisant la même nomenclature que celle développée par la CNIL dans ses dispenses, normes simplifiées, autorisations uniques, méthodologies de référence et recommandations de déclaration normale, et de vérifier que les traitements sont conformes aux recommandations de la CNIL dans chacun de ces documents en ce qui concerne les catégories de données recueillies, la durée de conservation et les catégories de destinataires.

Si l’entreprise intervient également en qualité de sous-traitant au sens du RGPD (si elle traite des données à caractère personnel pour le compte d’un responsable du traitement), elle devra tenir un second registre pour ces traitements.

La suite de cet article est réservée aux abonnés

Vous avez déjà un compte

Pour lire la suite de cet article, connectez-vous à votre compte

Mot de passe oublié

En cas de problème avec votre compte abonné, merci de contacter abonnement(at)optionfinance.fr

Pas encore abonné ?

Découvrez toutes nos offres d'abonnement et accédez à nos articles et dossiers en ligne.

S'abonner