Le principe de la vérification de conformité rgpd
Les sites internet représentent le meilleur moyen au sein de l’organisme de collecter les données concernant les clients. De ce fait, l’autorité publique a renforcé la protection des données personnelles des citoyens en revisitant la Loi informatique et libertés, par le biais du Cnil. A ce titre, ce nouveau règlement général insiste particulièrement sur le respect des droits des personnes.
Déroulement de l’audit de conformité rgpd
Selon la loi Informatique et libertés, le traitement des données sensibles est autorisé en fonction des finalités recherchées par l’entité. Ce règlement européen est particulièrement strict sur l’observation des Droits et libertés des personnes physiques, afin d’écarter toute violation sur le profilage lors des traitements de données.
Identification de la conformité d’un site
Après la rectification apportée sur la Loi informatique, les Autorités de protection des données sont devenues plus rigides concernant le respect de la conformité avec la réglementation. Dans cette optique, l’utilisation du Cil permet à l’entité d’appliquer les mesures techniques requises, afin d’éviter la violation de données selon la conformité rgpd. Le nouveau règlement européen a ainsi instauré la Commission nationale de l’informatique pour l’organisation des audits sur la conformité avec la législation, pour anticiper d’éventuelles problématiques organisationnelles.
Recueil des données
Chaque État‑membre de l’Union Européenne reste à cheval sur le principe de la protection des personnes physiques et leur droit national. Notamment lorsqu’il s’agit de l’application du droit de l’union, du droit d’opposition et du droit d’accès en exigeant sur le consentement des personnes concernées. C’est la raison pour laquelle, avant de traiter les données, l’entité doit réaliser une prospection à travers de la présente politique.
Pour ce faire, avant de réaliser une prospection commerciale, même à grande‑échelle, elle doit informer les personnes concernées. Durant un audit de conformité rgpd, l’Autorité de contrôle vérifie le respect des traitements de données personnelles auprès des responsables de traitement.
S’il s’agit d’une personne physique, la collecte de données doit être précédée des analyses d’impact stipulant les finalités pour lesquelles elle est lancée. De ce fait, même automatisé, ce principe doit préciser les données, pour le respect de la vie privée, afin de prouver la conformité des dispositifs mis en place, en cas d’audit.
En effet, pour être conforme avec les nouvelles obligations, les fins de prospection doivent obtenir le consentement de la personne. Pour ce faire, l’entité doit tenir un registre qui fixe les durées de conservation des informations dites sensibles et tenir compte des données sans implications personnelles dans le terminal. Dans cette optique, le formulaire contenant des données personnelles est soumis à des traitements aux préalables.
Risques encourus en cas d’infraction
La protection des données européennes se trouve parmi les plus importants dispositifs au monde, grâce à la mise en place du règlement de protections physiques. Ainsi, le respect de la conformité rgpd représente des enjeux stratégiques pour la protection des informations relatives aux citoyens. Au point que le non‑respect de ces règles de protection des données peut aboutir à des condamnations, allant jusqu’aux des condamnations pénales, vis‑à‑vis des traitants. En effet, en cas de violation des obligations légales et Intérêts légitimes, lors d’un contrôle des données personnelles, l’entité risque des amendes pouvant atteindre 10 millions d’euros.
Afin d’y remédier, il est important de désigner un délégué en sous‑traitance garant de la conformité de ou un correspondant informatique et libertés, afin de protéger les données personnelles. A ce titre, la commission nationale évaluera le niveau de protection des données à caractère personnel, afin d’estimer si les mesures de conformité sont bien alignées avec la Loi informatique et liberté. En effet, d’après la nouvelle réglementation, une entité doit démontrer sa conformité et la limitation pour la collecte des données à caractère personnel. Pour ce faire, les autorités de contrôle demandent aux organisations de se plier à leurs obligations en mettant en place les actions de mise en conformité. A savoir :
-
La politique de protection ou data protection en utilisant un cookie pour effectuer l’analyse d’impact du traitement de vos données.
-
La désignation d’un responsable du traitement ou des prestataires sous‑traitants qui maitrisent les textes de la Loi de protection des données et le nouveau règlement.
-
La tenue d’un registre des traitements qui doit respecter les mentions sur la confidentialité des données.
-
La nomination d’un délégué à la protection ou Dpo pour assurer la conformité des mesures de sécurité et des opérations de traitement.
-
Respecter le droit à l’oubli et à l’effacement après la durée de conservation pour éviter de dévier de l’intérêt légitime et empêcher la divulgation de donnée personnelle.