RGPD: Combien de syndics de copropriétés se sont ils mis en conformité avec le Règlement Général sur la Protection des Données ?
Votre structure collecte des données à caractère personnel auprès de vos clients ou de vos salariés, vous êtes concernés par le RGPD.
Sans grande marge d’erreur, on peut affirmer que peu sont ceux qui ont pu dégager du temps pour s’occuper de cette formalité chronophage mais indispensable quant à la pérennité de leur entreprise.
Selon la CNIL en charge du contrôle de la conformité au RGPD, qui a publié son rapport d’activité le 15 avril 2019 pour l’année 2018, il ressort que la sensibilisation de la population à la protection des données résultant du RGPD, a entrainé un nombre de plaintes reçues s’élevant à 11 077 en 2018 (+32,5% par rapport à 2017).
Dans le cadre du RGPD, la CNIL reçoit les notifications de violations de données qui ont fait suite, le plus souvent, à des atteintes à la confidentialité des données.
Aussi si vous n’avez pas commencé à vous lancer dans un plan de conformité au RGPD vous êtes en retard néanmoins si vous voulez rattraper les choses, vous pouvez suivre des formations à ce sujet et des solutions proposées en vue de se mettre en conformité avec le RGPD.
Quoi qu’il en soit, vous devriez avoir réalisé la mise en place des 3 registres indispensables à la conformité au RGPD.
I RGPD: Le premier registre
Le premier registre est le registre de responsable de traitement imposé par l’article 30 :
» Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. »
Selon Thiebault Devergranne, spécialiste de la mise en conformité au RGPD, ce registre ne présente pas beaucoup de particularités autres que de nécessiter un énorme travail de recensement de l’ensemble des traitements mis en oeuvre (et non des applications informatiques utilisées par une entreprise – même si cela donne des indications). Les informations à indiquer sont règlementées donc les choses sont assez claires de ce côté, voici la liste pour chaque traitement :
Ce registre comporte toutes les informations suivantes:
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
b) les finalités du traitement;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
II RGPD: Le deuxième registre
Le deuxième registre est le registre sous-traitant, dont pas grand monde ne parle mais qui est tout aussi obligatoire et essentiel. En effet, toujours dans les termes de l’article 30 :
« Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement »
Toujours selon Me Devergranne, ce registre est réglementé donc les choses sont assez simples quant à la liste des informations qu’il est nécessaire de conserver, puisque celles-ci comprennent :
a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;
b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;
c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
III RGPD : Le troisième registre
Le 3ème registre est le registre des notification de violations de données personnelles qui doivent être notifiées à la CNIL – notamment – et qui doivent être consignées sur un registre spécifique.
Ainsi en cas de contrôle la CNIL pourra analyser le registre des incidents de sécurité – afin de déterminer si l’ensemble des violations des données sont bien suivies par l’organisation.
Si cette tâche vous semble rébarbative, inscrivez-vous aux formations proposées par l’association PROCOLLOQUIUM sur le RGPD, qui en plus de vous décliner l’ensemble des dispositions à mettre en place pour vous mettre en conformité avec le RGPD de façon simple et efficace pour aller à l’essentiel, vous proposera une solution vous permettant de déléguer ces tâches chronophages mais indispensables
Photo: https://www.flickr.com/photo/republiquemrossello/47410169142