Protection des données

RODO - Règlement sur la protection des données ou OROD - Règlement général sur la protection des données, GDPR). Ensemble de règles conclues par l'Union européenne relatives à la protection des personnes physiques. Concerne le traitement des données à caractère personnel et leur libre circulation. Publié au Journal officiel de l'Union européenne L 119 le 4 mai 2016. Entré en vigueur le 25 mai 2018. Applicable à toutes les entités opérant au sein de l'UE, y compris les petites entreprises et les grandes sociétés multinationales. 

Quelles sont les sanctions en cas de non-respect du RODO ? 

La sanction maximale est de 20 000 000 €. Les entreprises déloyales doivent payer jusqu'à 4% de leur chiffre d'affaires annuel mondial total de l'année précédente (article 83(5)(a) RODO). 

Principes généraux du traitement des données : 

  • Conformité juridique, transparence et intégrité ; 
  • Restrictions quant à la finalité du traitement ; 
  • Correction et minimisation ; 
  • Restrictions de stockage ; 
  • Confidentialité et intégrité ; 
  • Responsabilité. 

Plan d'entraînement étape par étape : 

Les employés apprennent le nouveau règlement

     1.apprendre les concepts suivants : 

  • le profilage, 
  • les données personnelles et biométriques, 
  • la pseudonymisation ; 

     2 Introduire RODO dans l'organisation : 

  • comment commencer ? 
  • sur quoi se concentrer ?  
  • les priorités des tâches, 
  • procédures requises ; 

      3 Tâches fondamentales du responsable du traitement et du sous-traitant : 

  • la législation et les principes, 
  • le respect de la vie privée dès la conception et par défaut, 
  • registre des activités et catégories de traitement, 
  • les obligations d'information ; [Division de l'habillage du texte]. 

      4 Le rôle du délégué à la protection des données : 

  • les qualifications qu'il possède, 
  • dans l'entreprise ; 

      5 Les droits des personnes par rapport à leurs données : 

  • access, oblivion et autres, 
  • à quoi ressemble une atteinte à la protection des données ? à qui signaler les violations ? 

Comment le RODO a-t-il changé la réglementation nationale ? 

  • La nouvelle loi sur la protection des données du 10 mai 2018 (entrée en vigueur le 25 mai 2018) est entrée en vigueur ; 
  • L'administrateur de la sécurité de l'information (ABI) a été remplacé par un délégué à la protection des données (DPD) ; 
  • L'institution de l'inspecteur général pour la protection des données personnelles a été supprimée au profit du président de l'Office de protection des données personnelles (PUODO). 

Qui est concerné par la protection des données ? 

Tous les entrepreneurs (y compris les entreprises individuelles) sans distinction de nombre de salariés, de taille ou d'étendue des travaux (article 2 et article 3 du RODO). Sont exclues les activités non couvertes par le droit de l'Union européenne, les personnes exerçant des activités domestiques ou personnelles. 

À quelles informations sont-elles liées ? 

  • nom ;  
  • adresse résidentielle (lieu) ; 
  • PESEL ou autre numéro d'identification ; 
  • nom de l'email ; 
  • les facteurs définissant l'identité physiologique, physique, génétique, mentale, économique, sociale ou culturelle d'un individu.  

Quelles données ne doivent pas être traitées ? 

Surtout ceux qui sont protégés, comme : 

  • origine raciale ; 
  • l'état de santé ; 
  • l'orientation sexuelle ; 
  • les données biométriques. 

Opérations de base : 

  • collection ; 
  • l'enregistrement ; 
  • avant-première ; 
  • modification ;  
  • utiliser ; 
  • la divulgation ;  
  • la diffusion ; 
  • partage ; 
  • l'appareillage ; 
  • de la liaison ; 
  • destruction ; 
  • réduction ; 
  • déménagement. 

L'article 6 du RODO énumère un certain nombre de circonstances autorisant le traitement de données à caractère personnel.  

Le professionnel est tenu d'obtenir le consentement de la personne concernée pour leur traitement ou lorsque cela est nécessaire à l'exécution d'un contrat. 

Le responsable du traitement des données peut être une personne morale ou physique qui : 

L'inspecteur vérifie le respect des procédures
  • met en œuvre les procédures de sécurité ; 
  • détermine les modalités et la finalité de l'acquisition et du traitement ; 
  • définit le champ d'application ; 
  • accomplit des actes juridiques ; 
  • assurer la sécurité ; 
  • évaluer le risque de violation des données ; 
  • prendra en compte le coût des dispositifs de sécurité. 

Vous pouvez lire dans le règlement que les sauvegardes peuvent être de nature organisationnelle ou technique. Elles doivent être liées à la portée, à la nature, au contexte et à la finalité du traitement et tenir compte également du risque d'atteinte aux libertés et aux droits des personnes qui ont fourni les données. 

Dans la LPD, nous trouvons les lignes directrices suivantes qui peuvent être utilisées par le contrôleur dans des circonstances appropriées : 

  • Assurer en permanence l'intégrité, la confidentialité, la disponibilité et la résilience des systèmes et services de traitement - le niveau de sécurité doit être le même. 
  • Sauvegarde des données. Capacité à rétablir la disponibilité des données personnelles également en cas d'incident technique ou physique. 
  • Cryptage et pseudonymisation - traitement des informations personnelles de manière à ce qu'elles ne puissent pas être identifiées et attribuées à une personne, sans accès à d'autres informations. 
  • Effectuer des tests réguliers, vérifier et mesurer l'efficacité des mesures organisationnelles ou techniques qui garantissent un traitement sécurisé. La sauvegarde est un processus continu, qui fait constamment l'objet d'analyses et d'améliorations. 
  • Mesures de sécurité : 

            organisationnel :  

  •  manuel de protection ;  
  • n'autorisant que les employés autorisés ; 
  • et un engagement de confidentialité ; 
  • un écran propre et une pratique de bureau ; 
  • la délivrance des clés aux personnes autorisées ; 
  • l'enregistrement des activités de traitement, sauf pour les entreprises de moins de 250 employés ; 

            Technique : 

  • le cryptage des données ; 
  • protection contre les logiciels malveillants ; 
  • sécurité des réseaux informatiques 
  • sans qu'il soit nécessaire d'entrer un nom d'utilisateur et un mot de passe ; 
  • les armoires ou les salles où sont stockées les informations sous forme physique.  

Il est important de rappeler que la production de données comporte un risque de violation des libertés ou des droits. Elle n'est pas sporadique et comprend des données sensibles ou des données relatives à des infractions et des condamnations judiciaires. 

Qui est le délégué à la protection des données et quand est-il nommé ? 

Aide les entreprises à se conformer à la réglementation. Fournit des informations sur les obligations liées au RODO pour le sous-traitant ou le responsable du traitement. En outre, il coopère avec le PUODO. L'obligation de nommer un inspecteur survient dans certaines situations en vertu de l'article 37 du RODO lorsque : 

ordinateur portable sur le bureau

"le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux dans l'exercice de leurs fonctions juridictionnelles ; les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées à grande échelle ; ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10".