GDPR : les actions indispensables de conformité (étude longue)

Posté par . Édité par Benoît Sibaud, ZeroHeure et Davy Defaud. Modéré par Nÿco. Licence CC by-sa
21
3
juil.
2017
Justice

Le site Données personnelles publie une étude assez complète sur le règlement européen en matière de protection des données personnelles qui entrera en vigueur en mai 2018 (le GDPR / RGPD) et qui va révolutionner la protection de la vie privée. Les nouvelles sanctions, en particulier, vont inciter les organisations (les entreprises et l’État) à appliquer cette règlementation. Le règlement est long (100 pages — 99 articles de loi…), mais voici en substance onze actions pratiques qui peuvent être mises en œuvre pour se préparer au règlement :

  1. minimiser les données personnelles collectées ;
  2. s’assurer du fondement juridique du traitement ;
  3. éviter de traiter des données sensibles ;
  4. afficher les mentions légales ;
  5. respecter le droit à la portabilité des données ;
  6. mettre en place un registre de conformité ;
  7. assurer la sécurité des données personnelles ;
  8. créer un registre de violations de données personnelles ;
  9. nommer un délégué à la protection des données ou data privacy officer (DPO) ;
  10. mettre en place une évaluation d’impact sur la vie privée ou privacy impact assessment (PIA) pour les traitements les plus sensibles ;
  11. s’assurer de ne pas transférer des données personnelles hors union européenne.

À méditer !

  • # La définition telle que résumée n'est pas assez claire

    Posté par . Évalué à 3.

    Je pense que le résumé ici présent n'est pas assez clair. À vue de nez, on peut balayer toutes ces consignes assez facilement sans craindre de représailles.

    Et aussi, il n'y a pas de sanction dans ce résumé… sans ça, toute consigne devient caduque.

    • [^] # Re: La définition telle que résumée n'est pas assez claire

      Posté par . Évalué à 1.

      Les sanctions sont de 20 millions d'euros par infraction (ou 4% du CA du groupe, si >).
      Cela aurait effectivement pu être dans le résumé par contre cela devrait être un sujet qui ne devrait plus être nouveau maintenant. On est à peine à un an de la conformité !

  • # copier/coller interdit !

    Posté par . Évalué à 9.

    Mais qui fait encore des sites web qui déactivent le clic droit en 2017 ?!

    Je ne comprends même pas que ce genre de site puisse avoir un lien sur linuxfr !

    J'imagine qu'il existe des tonnes de site qui donnent le même genre d'informations de manière beaucoup plus respectueux de ses lecteurs.

    "La première sécurité est la liberté"

  • # L'Europe à Peur

    Posté par . Évalué à 1.

    L'auteur de cette dépêche est-il aussi l'auteur du site ? Si oui, ça serait bien de le préciser.

    Cette loi va dans le bon sens mais tout n'est pas simple et à résumer tel que dans la liste des 11 points ci-dessus, voir dans certain paragraphe du site. C'est beaucoup plus complexe que cela et les organismes concernés feraient bien de se lancer dans la lecture complète et pas forcément faire preuve de fainéantise et s'en remettre à des "sachant" qui au final n'en savent pas beaucoup plus.

    Ex: "11. s’assurer de ne pas transférer des données personnelles hors union européenne" : c'est faux, rien ne l'oblige dans la mesure ou l'on respecte les conditions fixées, celles-ci étant quand même assez larges, comme on peut le voir dans l'Article 49: Dérogations pour des situations particulières qui liste par ex. comme exceptions:
    "a) la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées;

    b) le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée;

    c) le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale;"

    Donc si j'ai le consentement de la personne et que je l'informe que c'est pour la bonne exécution du contrat qu'elle est en train de conclure avec moi, je peux transférer les données. Ça va se retrouver dans les petites lignes et les notes de bas de page… mais ça suffira.

    • [^] # Re: L'Europe à Peur

      Posté par (page perso) . Évalué à 2. Dernière modification le 05/07/17 à 22:49.

      Oui l'auteur de la dépêche est l'auteur du site (pseudo = nom de famille de la personne)

      D'après ce que j'entends t'as les services publiques sont en train de faire une analyse du texte et des risques.

      Car bon ça serait con de se faire condamner car ils ont des infos inutile pour leur travail

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.