10 choses à garder à l’esprit sur la « DSGVO »

Peu de temps s’écoule avant que le nouveau règlement de base sur la protection des données et le nouveau BDSG s’appliquent. La liste de contrôle suivante vise à donner un aperçu de certaines dispositions importantes de la nouvelle loi sur la protection des données qui doivent être traitées et mises en œuvre dès que possible.

Liste de contrôle en 10 points pour l’OSDGVO

  1. mettre en œuvre des obligations d’information étendues

Cela dépend avant tout d’une adaptation de l’ensemble du « système de formulaire » (p. ex. déclarations de consentement, masques de saisie, cartes de loterie, etc. Il en va de même pour les informations visées aux art. 13 et 14 ODSGVO en cas d’utilisation de la vidéosurveillance, par exemple en utilisant des pictogrammes correspondants avec des informations. En tant qu’entreprise, veillez à ce que les personnes concernées dont vous traitez les données soient toujours pleinement informées du traitement au moment de la collecte. L’accent est également mis ici sur la « compréhensibilité », qui peut être obtenue par un langage simple et clair et une structure structurée.

  1. vérifier s’il est nécessaire de nommer un délégué à la protection des données

C’est le cas, par exemple, si au moins dix personnes (p. ex. commis, réceptionniste, secrétaire, etc.) sont constamment impliquées dans le traitement de données personnelles ou si le traitement est particulièrement risqué ou si l’entreprise est un fournisseur d’adresses ou une agence de crédit (art. 37 OSDGV + § 38 BDSG-Neu). Si tel est le cas, sélectionnez le délégué à la protection des données (interne ou externe) avec soin et sur la base de son expertise. Cet investissement est particulièrement rentable si vous attachez de l’importance à la qualité du support.

  1. organiser les obligations en matière de documentation et remplir les obligations en matière de responsabilité

 

Les entreprises doivent immédiatement établir un registre de traitement conformément à l’art. 30 ODSGVO. Cela vous donne également une bonne vue d’ensemble des processus de traitement relatifs à la protection des données. Ce registre doit inclure toutes les activités liées au traitement des données à caractère personnel.

 

Voici quelques exemples possibles d’activités de traitement à documenter individuellement

  •    Comptabilité de la paie (par exemple par un conseiller fiscal ou en interne)
  •     administration du personnel
  •     Exploitation du site Web de l’entreprise (également par l’intermédiaire de prestataires de services d’hébergement externes)
  •     gestion des clients
  •     gestion des commandes
  •     Support informatique (externe)
  •     Analyse des données clients
  •     Traitement des paiements pour les clients
  •     Mesures publicitaires pour l’acquisition et la fidélisation de la clientèle

 

La nouvelle obligation de rendre compte signifie également que toutes les procédures/processus concernant la protection des données (par exemple la transmission des données, les concepts de sécurité, la sauvegarde des droits des personnes concernées) doivent être documentés et vérifiables (« Do good and write it down »).

À propos de la personne

 

Kevin Marschall, LL.M. est avocat et directeur général de GDPC GbR (www.gdpc.de), une société de conseil en gestion spécialisée dans la protection des données et la sécurité des informations. En tant qu’expert en matière de protection des données, il s’occupe depuis de nombreuses années de l’application pratique de la loi sur la protection des données à titre de conseiller et donne régulièrement des conférences sur ces sujets.

 

  1. tenir compte de la sécurité du traitement

 

En ce qui concerne les mesures techniques et organisationnelles de protection des données, un examen axé sur les risques, la position de sécurité et une évaluation régulière de l’efficacité des mesures, y compris leur documentation, doivent être effectués. Cela peut également comprendre des essais d’intrusion. Cela signifie que plus le traitement des données de l’entreprise est risqué, plus des mesures de protection doivent être prises. Par exemple, les mesures prises par une clinique ou une pharmacie pour traiter des types particuliers de données personnelles telles que les données relatives à la santé ou les prescriptions doivent être régulièrement plus complètes que celles prises par une entreprise artisanale.

 

5) organiser des obligations de déclaration et de notification en cas de panne de données

 

Comme les entreprises ne disposeront plus que de 72 heures pour signaler à l’avenir une atteinte à la protection des données à l’autorité de surveillance responsable, un processus et un plan de travail stricts doivent être élaborés. Dans ce contexte, par exemple, la procédure interne en cas de violation de la protection, son évaluation au regard des risques existants et la communication entre les différents services de l’entreprise doivent être définies. Il faut veiller à ce que toutes les violations de la protection soient portées à l’attention de la personne responsable afin qu’elle puisse prendre les mesures nécessaires. Ces normes et comportements, ainsi que d’autres, devraient également être intégrés dans une politique interne de protection des données et mis à la disposition de tous les employés (mot clé : sensibilisation).

 

  1. vérifier si les traitements individuels font l’objet d’une évaluation des incidences sur la vie privée

 

Chaque fois qu’une forme particulière de traitement, telle que par sa nature, sa portée, ses circonstances et ses finalités, est susceptible (pas nécessairement certaine) de présenter un risque élevé pour les droits et libertés des personnes, vous devez procéder à une analyse d’impact. Les cas possibles dans lesquels une évaluation est requise sont, par exemple :

 

  •     Mesures de vidéosurveillance, en particulier pour les systèmes intelligents et en réseau
  •     Systèmes d’accès (biométriques)
  •     Logiciel CRM (y compris fonctions de profilage)
  •     Calculs de score et tests de personnalité
  •     contrôles de sûreté
  •     Systèmes de surveillance, par ex. pour la surveillance des employés, par ex. lors de l’utilisation d’Internet

Concevez un processus d’évaluation et de minimisation des risques et demandez conseil à votre responsable de la protection des données.

 

Attention : Si vous devez effectuer une analyse d’impact sur la protection des données, vous êtes également tenu de désigner un délégué à la protection des données qui pourra vous assister dans ce processus.

  1. traitement des données de commande

Vérifiez si un contrat efficace pour le traitement des commandes a été conclu pour tous les traitements de données que des tiers effectuent pour votre entreprise en votre nom et sur vos instructions (p. ex. hébergement web, services cloud, centre d’appels, conseiller fiscal, agence de publicité) et si des mesures de sécurité appropriées et autres contenus obligatoires selon l’art. 28 LPDVO ont été inclus. Le cas échéant, conclure des accords complémentaires.

Agissez-vous en tant que transformateur vous-même ? Portez ensuite une attention particulière aux nouvelles obligations, par exemple l’obligation de tenir également un répertoire de traitement de toutes les données traitées pour le compte de vos clients.

  1. établir un plan de formation et mener des activités de sensibilisation

 

L’une des étapes les plus importantes pour les entreprises est la sensibilisation régulière de leurs employés et des autres personnes impliquées dans l’entreprise en tant que personnes internes ou externes qui peuvent entrer en contact avec des données personnelles. Étant donné qu’une organisation durable de protection des données n’est aussi forte que son maillon le plus faible, vous pouvez créer rapidement des plans de formation pour vos employés. La sensibilisation peut également être complétée par une directive et des engagements internes en matière de protection des données.

  1. mettre en œuvre des procédures visant à garantir les droits des personnes concernées

 

Étant donné que la garantie des droits des personnes concernées (droit d’information, droit de rectification, droit de suppression, droit de transfert des données, droit d’opposition, etc. Il s’agit par exemple d’une procédure de traitement rapide des demandes de renseignements, d’attribution des données aux personnes concernées, d’effacement des données en temps utile et d’une procédure d’identification et de classification des données stockées et des emplacements dans le sens d’un stockage structuré des données (par exemple, dans un CRM, des fichiers ou des dispositifs mobiles, etc.).

  1. tout d’abord, adapter et réviser les processus de relations publiques qui exigent beaucoup de temps.

 

Bien qu’il n’existe pas de « plan de dernière minute » sûr pour la mise en œuvre des exigences légales, il est possible d’établir des priorités. Les entreprises doivent désormais accorder une attention particulière à toutes les actions qui sont visibles de l’extérieur et qui produisent ainsi un effet externe. C’est le cas, par exemple, des sites Internet (y compris les formulaires de contact), du suivi sur Internet, des déclarations de protection des données sur la page d’accueil et de la révision des déclarations de consentement. L’accent est mis ici sur les obligations d’information (art. 13/14 ODSGVO).

Dernier point, mais non des moindres : Garder un œil sur les développements législatifs à venir

Enfin, les entreprises ne doivent pas perdre de vue la réglementation sur la protection de la vie privée dans le secteur des communications électroniques, qui est encore en cours d’élaboration. Elle complétera et précisera l’OSDGVO dans le domaine des communications électroniques et entraînera d’autres exigences d’adaptation des processus opérationnels. Les autorités publiques, telles que les autorités publiques ou les municipalités, devraient également garder un œil sur leurs lois nationales en matière de protection des données, qui sont ou ont été modifiées.