Conformité au GDPR, service de DPO externe

Swingactions propose un accompagnement pour votre conformité au GDPR et un service de DPO externe.
Information et formation.
Audit externe et accompagnement de projets.

Accompagnement conformité

La mise en conformité de votre organisation vis-à-vis du GDPR est un travail de longue haleine qui s’étale vraisemblablement sur plusieurs années.  C’est aussi une question de réalisme.

Des pratiques sont révisées en profondeur ou abandonnées.  Un effort majeur de pédagogie est fait de manière transversale.  Le GDPR impacte progressivement la majorité des outils informatiques et des processus.

Depuis le 25 mai 2018, les organisations doivent être capables de démontrer à l’Autorité de Protection des Données leur engagement à suivre le GDPR de manière responsable (accountability).  Un inventaire exhaustif des traitements de données et de leurs bases de légitimations ainsi que de leurs finalités, des outils, des sous-traitants, etc. est réalisé, et les contrats sont révisés.  Il convient de s’entourer des prestataires conformes ou engagés également dans les principes de responsabilité et de transparence intrinsèques au GDPR.  Un registre des traitements est établi, et un Délégué à la Protection des Données (DPO) est éventuellement nommé.  Une ligne de conduite claire est définie et les chantiers nécessaires sont entrepris ou planifiés.

Swingactions vous accompagne dans l’inventaire de vos traitements et l’établissement du registre officiel obligatoire sur base d’un modèle.  L’inventaire concerne aussi vos outils et fournisseurs (également les hébergeurs, les services cloud, les applications, etc.), et l’analyse de leurs niveaux de conformité.  A cette occasion, nous pouvons vous aider également à clarifier les rôles de « Responsable de traitements », de « Sous-traitant », etc. qui ont un sens particulier défini par le GDPR (souvent différent du sens commercial) et qui impliquent de nouvelles obligations et responsabilités.  En collaboration avec les juristes, nous pouvons vous aider à mettre à niveau vos contrats avec vos sous-traitants (désormais obligatoires), de sorte que les rôles et responsabilités soient clairement définis.

Nous vous aidons également a mettre en place les outils nécessaires au suivi de votre conformité pour vous permettre de démontrer que vous respectez le principe de responsabilité du GDPR (accountability).

Un certain nombre de dispositions du GDPR nécessitent que des procédures internes soient prévues.  Par exemple, dès la collecte d’une donnée à caractère personnel, il doit être défini quand celle-ci sera supprimée ou transformée à des fins statistiques ou archivistiques lorsqu’il n’y aura plus de base de légitimation valide pour la conserver.  Il faut également faire preuve de transparence vis-à-vis des personnes concernées par les traitements.  Le GDPR permet aux personnes concernées de contacter l’organisation pour vérifier si ses droits sont respectés.

Swingactions peut également vous accompagner dans la mise en place des procédures permettant de supprimer ou de transformer les données, d’accueillir et de traiter les demandes d’accès, de consultation, de suppression, etc. venant des personnes concernées.

Swingactions vous accompagne également dans l’information et dans la formation des collaborateurs, dans un processus de professionnalisation et de vulgarisation, pour l’émergence des bonnes pratiques et de la compliance à tous les niveaux.

Service de DPO externe

Chaque responsable de traitement doit nommer un Data Protection Officer (Délégué à la Protection des Données) dès lors qu’il est une autorité publique, ou dès lors que ses activités consistent en des opérations de traitement à grande échelle (selon nature, portée, et finalités) ou nécessitant un suivi régulier des personnes concernées, ou encore lorsqu’il traite des données sensibles.

Le DPO peut être un membre du personnel du responsable de traitement, ou exercer ses missions sur la base d’un contrat de service.

Un DPO est désigné sur base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 du GDPR : informer et conseiller le responsable de traitement, contrôler le respect du GDPR, dispenser des conseils – sur demande – en ce qui concerne l’analyse d’impact relative à la protection des données, et coopérer avec l’Autorité de Protection des Données.

Dans ses fonctions, le DPO doit être associé d’une manière appropriée à toutes les questions relatives à la protection des données à caractère personnel.  Le responsable du traitement veille à fournir au DPO les ressources nécessaires à l’accomplissement de sa mission, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement.

Le DPO doit être libre d’exercer sa mission en toute indépendance et il fait directement rapport au niveau le plus élevé de la direction.  Il ne partage pas la responsabilité du responsable de traitement, et ne peut donc être directeur ou impliqué dans les décisions.

Le DPO est soumis au secret professionnel et à une obligation de confidentialité.  Il peut exercer d’autres missions et tâches, dans la mesure où elles n’entrainent pas un conflit d’intérêts.

Swingactions vous assiste pour déterminer si un DPO est nécessaire selon le GDPR (et éventuellement la loi du 30 juillet 2018 mise à jour) en fonction de vos activités et des données que vous traitez, et propose un service de DPO externe sur la base d’un contrat de service.

Au sein des organisations, les enjeux autours de la fonction de DPO peuvent être nombreux.  Il est parfois plus indiqué de confier ce rôle à un prestataire externe.

Swingactions peut mettre à votre disposition un DPO Certifié.

 

Travail en association pour combiner les compétences techniques et juridiques

La plus grande difficulté de l’application de la Protection des Données est qu’elle nécessite d’une part des compétences techniques pour comprendre un environnement informatique, et d’autre part des compétences juridiques pour déterminer par exemple des délais de conservation des données, ou pour vérifier la conformité d’un contrat de sous-traitance …

Une autre difficulté est de combiner le GDPR avec les règles juridiques spécifiques des différents secteurs.

C’est pourquoi nous travaillons de plus en plus en équipe, selon le profil et les exigences du client.  Nos clients peuvent bénéficier de notre collaboration avec un juriste spécialisé dans la protection des données ; nous travaillons également en collaboration avec les juristes de nos clients ou les juristes spécialisés dans les secteurs concernés.

Ressources complémentaires

L’influence générale du GDPR sur les pratiques et la façon de travailler

Le GDPR spécifie que lorsqu’un responsable du traitement sélectionne un prestataire pour traiter des données à caractère personnel, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes et appropriées pour que le traitement réponde aux exigences du règlement et garantissent la protection des droits des personnes concernées.

Par expérience, nous savons qu’il y a très vite des données personnelles dans les fichiers informatiques ou les bases de données des entreprises.  Le GDPR considère que la plupart des opérations susceptibles d’être réalisées sur des données sont des traitements : collecte, enregistrement, organisation, structuration, conservation, modification, extraction, consultation, utilisation, transmission, effacement, destruction, …  Dès lors, un prestataire informatique réalise énormément de traitements.  Traiter des données nécessite d’adopter une attitude responsable et respectueuse des droits des personnes concernées.

Le GDPR pousse les prestataires de services à travailler plus sérieusement et plus précautionneusement.  Les supports mobiles sont cryptés ; on ne diffuse plus de données personnelles par e-mail mais par des plates-formes sécurisées (également des sous-traitants sous contrat).  La transparence doit être complète sur tous les intervenants qui participent aux traitements.  Les responsables de traitements prennent conscience de leurs responsabilités et fournissent des instructions plus détaillées à leurs sous-traitants.  Les prestataires de services qui ne tiennent pas compte de ces éléments risquent tout simplement de disparaître lorsque le règlement sera correctement appliqué par toutes les organisations.

La protection des données est un levier de professionnalisation à tous les niveaux.  Les choses deviennent plus claires, on constate une meilleure maîtrise, et on aboutit souvent à une gestion plus optimale !

La mise en conformité des entreprises a généré une grande quantité de travail chez tous les intervenants.  Nous constatons que beaucoup d’efforts ont été réalisés pour atteindre progressivement la conformité depuis mai 2018, même si certains secteurs sont à la traîne.

L’Autorité de Protection des Données est aujourd’hui active et elle dispose d’un pouvoir direct de contrôle et de sanction.  Les personnes concernées ont la possibilité d’interpeller directement les organisations et l’Autorité pour vérifier et forcer le respect de leurs droits.  L’une des premières sanctions en Belgique concernait un commerçant qui proposait comme seul moyen de création d’une carte de fidélité, la lecture de la carte d’identité électronique.  L’amende administrative s’est s’élèvée à 10 000 €.  La carte d’identité électronique contient de nombreuses données sur son titulaire et l’utilisation de ces données, sans consentement du client, a été considérée comme disproportionnée au regard du service proposé.

Notre rôle est d’aider les entreprises à comprendre le GDPR et à en intégrer les principes lorsqu’elles réfléchissent à leurs projets (article 25 du GDPR) !  Outre les 10 000 € d’amende, ce commerçant doit revoir son application et donc investir une seconde fois.  Nous aidons aussi nos clients à s’entourer des prestataires qui offrent des garanties (article 28 du GDPR) et disposent des compétences nécessaires pour développer des applications conformes au GDPR par défaut et dès la conception.

Rappel ? Le Règlement Général sur la Protection des Données en résumé ...

Rappel ? Le Règlement Général sur la Protection des Données en résumé …

Le GDPR établit les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et les règles relatives à la libre circulation des données en Europe.  Le règlement rend aux personnes concernées le contrôle sur leurs données personnelles par l’établissant d’une série de droits et d’obligations pour les responsables de traitements, et notamment en imposant un maximum de transparence.  Il s’applique au traitement de données à caractère personnel (y compris à usage professionnel), automatisé ou non, ce qui inclut les dossiers papier structurés : listes de clients, prospects, patients, justiciables, membres du personnel, …

Une organisation qui traite des données à caractère personnel est un « responsable de traitement », et ses fournisseurs qui interviennent dans ce traitement, sont des « sous-traitants » au sens du GDPR.  Ils partagent des responsabilités.

Le GDPR est une règlementation horizontale, qui s’applique à toutes les entreprises, les associations, les services publics, etc. complémentairement aux règlementations verticales spécifiques aux différents secteurs.

Le GDPR est d’application dans toute l’Union Européenne dès le 25/05/2018 et nécessite une mise en conformité dans chaque organisation.