Le règlement européen impose une analyse d’impact pour se mettre en conformité avec ses dispositions. Elle aide à mettre en place un traitement des données personnelles respectueux de la vie privée des personnes concernées.
Pia rgpd cnil : quand réaliser une analyse d’impact ?
Le PIA doit se faire avant tout traitement de données à caractère personnel ou de données sensibles. Il faut :
- délimiter et décrire le contexte des traitements de données personnelles ;
- examiner les mesures garantissant le respect des principes de base en termes de traitement des données et des droits des personnes ;
- apprécier les risques en s’assurant que les données collectées soient bien traitées ;
- formaliser la validation du PIA.
Pour mener à bien cette mission, le rôle du Dpo (délégué à la protection des données) est essentiel. Il se charge de conseiller le responsable des traitements de données. Dans tous les cas, pour en savoir plus sur le pia rgpd cnil, vous pouvez aller sur le lien.
Les grands principes RGPD à connaître
Avec le développement des outils digitaux, les traitements des données à caractère personnel sont de plus en plus nombreux. Toutefois, il faut respecter un grand nombre de règles en ce qui concerne les données collectées et leurs finalités.
Avoir le consentement des personnes
Le consentement est un des points importants en ce qui concerne la protection des données personnelles. Il doit être libre et surtout univoque. De nombreuses sanctions peuvent être prononcées en cas de non-respect de ce recueil de consentement. Cela est essentiel pour les opérations de prospection directe par voie électronique par exemple.
Dans la grande majorité des cas, il s’agit d’un opt-in. Il ne s’agit que de cocher sur un formulaire une case indiquant son aval pour le traitement de ses données.
Le principe de minimisation
Le nouveau règlement sur la sécurité des données impose que les informations à caractère personnel soient limitées et surtout adéquates. Cela est nécessaire sur la base des finalités pour lesquelles elles sont traitées.
L’établissement d’une durée de conservation
Les données traitées ne peuvent être conservées que durant une façon indéfinie dans le dossier des responsables de traitements et de leurs sous-traitants. Aucune durée n’est établie à l’avance, toutefois cette durée doit être évaluée dépendamment des objectifs de la collecte de données. Une fois l’objectif atteint, les données peuvent être archivées, effacées ou anonymisées. En termes de prospection commerciale, la CNIL admet cependant, que les données personnelles peuvent être préservées pendant 3 ans à partir du terme de la relation commerciale.
Respecter les demandes des personnes concernées
Les personnes concernées ont des droits leur donnant la faculté de garder une pleine maîtrise de leurs données. Nous faisons référence au droit à la portabilité des données, à leur effacement, à leur accès ou encore à leur rectification. Il est impératif de mettre en place un service traitant des demandes d’exercice de droit.
Les missions principales de la Commission nationale informatique et libertés
Informer les personnes physiques
Particuliers comme professionnels peuvent s’adresser à la Cnil pour exercer leurs droits. Elle a pour obligation de promouvoir l’usage des technologies protectrices de la vie privée durant des traitements de données à caractère personnel.
Accompagner
La régulation des diverses données personnelles passent par divers instruments : lois, décrets, doctrines… La Cnil propose même des boîtes à outils comprenant des correspondants Informatique et libertés ou encore des packs de conformité.
Sanctionner les entreprises
En cas de non-respect des dispositifs de protection des données personnelles, l’autorité de contrôle qu’est la CNIL peut émettre des sanctions à l’encontre des entreprises.
Mettre en place une veille
La CNIL ainsi que le règlement général sur la protection des données à caractère personnel peut mettre en place une veille afin de déceler et d’analyser les technologies pouvant impacter sur la vie privée.