Quels sont les principes de base de GDPR ?

Pour comprendre les exigences du GDPR, il est important de regarder les principes de base du GDPR:

Données personnelles

  • acquis et traités d’une manière légale, appropriée et transparente (par exemple, la clarté quant à la façon dont les données personnelles seront utilisées)
  • seulement recueillies pour des fins explicites et légitimes bien définies
  • limité au minimum requis pour les finalités prévues (et dispositions légales)
  • suivi avec précision et maintenu à jour
  • pas gardé plus longtemps que nécessaire aux fins prévues (et dispositions légales)
  • en prenant des mesures techniques ou organisationnelles appropriées de manière à garantir la sécurité des données personnelles

L’organisation, ou dans la terminologie de GDPR le contrôleur, est responsable du respect des principes de base ci-dessus et peut le démontrer. En d’autre termes l’organisation a une responsabilité.

Comment vous conformez-vous à la responsabilité du GDPR ?

Qui peut présenter les actions et activités suivantes, peut démontrer que son organisation GDPR est conforme:

  1. Rédaction et tenue à jour d’un registre de données appelé aussi registre des activités de traitement (exigence de documentation interne)
  2. Traiter uniquement le minimum de données personnelles, en tenant compte des objectifs visés
  3. Rédaction d’un GDPR conformément à la déclaration de confidentialité (= déclaration décrivant comment l’organisation gère les données personnelles)
  4. Rédaction d’un GDPR en accord avec la politique interne (pour informer et sensibiliser les employés – en les signant)
  5. Respect des dispositions du GDPR en obtenant des processeurs de données (par exemple des contrats et des codes de conduite et / ou des certificats)
  6. Mettre en œuvre des procédures adéquates (y compris en ce qui concerne les droits des personnes concernées, signaler les fuites de données, …)
  7. Si applicable à l’organisation (y compris en fonction de quelles données personnelles sont traitées et quel traitement a lieu)
    • Nommer un délégué à la protection des données
    • Exécution de DPIA (si nécessaire)
    • Implémenter la confidentialité par conception et par défaut