General Data Protection Regulation : la cartographie des traitements
Une entreprise belge qui effectue un traitement de données personnelles doit se conformer au règlement. Nous avons analysé il y a deux semaines les conditions de la licéité de ce traitement. Nous entrons ici dans l’évocation des mesures organisationnelles à adopter pour la mise en conformité.
Il est nécessaire de mettre en place certains instruments, et ce même avant l’entrée en vigueur du règlement. Une première étape est de cartographier tous les traitements réalisés par votre entreprise. Il s’agit donc de lister ces traitements et de savoir sur quoi ils portent. Cette phase de recensement n’est évidemment pas à laisser à la dernière minute et vous permettra d’y voir plus clair sur ce que vous faites et comment. C’est aussi une opportunité de faire le tri. Le tout devra être consigné dans un registre des traitements afin de savoir en tout temps ce qu’il en est.
Sur cette base, vous devrez déterminer quelles mesures prendre fonction notamment des grands principes du règlement comme le principe de minimalisation, de finalité, de proportionnalité, de sécurité et de rétention minimale (principes sur lesquels nous reviendront prochainement). Un premier réflexe par rapport à cela sera de supprimer les données qui ne sont plus nécessaires et dont la garde ne se justifie pas et de s’assurer de ne collecter à l’avenir que ce qui est utile.
Pour réaliser ces opérations, un Délégué à la Protection des Données pourrait être nommé au sein de votre entreprise. Cela n’est néanmoins nécessaire que lorsque vos activités consistent en des opérations de traitement qui du fait de leur nature, leur portée ou finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ou encore parce que vous traitez des données sensibles au sens du règlement. Ce DPO pourrait également être externe et diverses offres de services existent aujourd’hui sur le marché.
Plus d’informations sont disponibles dans le guide « Boostez la protection des données de votre entreprise » à l’adresse suivante : https://www.infoucm.be/protectiondesdonnées.
—
Attention : cette note a été rédigée à des fins essentiellement pédagogiques et vise à informer et conscientiser sur l’entrée en vigueur prochaine du GDPR. Elle ne constitue en aucun cas un exposé exhaustif de la réglementation applicable ou du sujet traité. En utilisant les informations contenues dans ce billet, le lecteur renonce à mettre en cause la responsabilité de l’UCM et de l’auteur, même en cas de faiblesse ou d’inexactitude, flagrante ou non, de son contenu.