Quiz RGPD

But du RGPD: donner à chaque état la possibilité de ne suivre que SA propre législation

Le RGPD a été conçu pour répondre à une demande croissante d'uniformisation des législations. Dans un monde ou tout est connecté, il n'était plus possible de légiférer indépendamment sans avoir un cadre global. Le RGPD répond donc à une problématique global, il s'applique à tous les membres de l'UE.

But du RGPD:

Le RGPD a été conçu pour être un levier positif pour votre entreprise mais également pour protéger les données des utilisateurs. Au bout du compte, on a tous à y gagner.

Une entreprise basée à Taiwan sera t elle concernée par le RGPD?

Toute entreprise traitant des données à caractère personnel des personnes dans l'UE est assujettie au RGPD.

En cas de violation du RGPD, mon entreprise risque d'être poursuivie en justice (plusieurs réponses possibles)

Une des nouveautés amenée par le RGPD est la possibilité pour les personnes de se regrouper et d'entamer une action de groupe contre votre entreprise. On est toujours plus fort à plusieurs. Les enjeux deviennent beaucoup plus importants.

Données personnelles: quelle est la liste correcte?

Pas certain que les yeux du chat soient très intéressant pour un cadre légal. En revanche, la localisation, les données financières et l'identité (mais pas uniquement) sont des données à caractère personnel.

Est-ce que l'on doit encore déclarer à la CNIL les traitements de données à caractère personnel si ces données ne sont pas sensibles?

La déclaration préalable au traitement des données "non sensibles" mas tout de même reconnues comme étant à caractère personnel n'est plus obligatoire. Le RGPD simplifie la procédure en introduisant le principe de responsabilité (accountability).

Sur le site internet de l'entreprise ou dans les contrats, je dois afficher les mentions légales telles que la politique de confidentialité?

L'article 13, introduit la notion d'information en cas de collecte de données à caractère personnel. Il faut donc, en toute transparence, montrer ce que l'on fait avec ces données. Votre entreprise à tout à gagner à être transparente; vous gagnerez la confiance de vos visiteurs et clients.

Conservation: j'ai le droit de conserver les données d'un prospect aussi longtemps que je le souhaite?

L'article 5 du RGPD introduit la notion de durée de conservation. Bien que laissée libre au responsable de traitement en correspondance avec les finalités des traitements, la CNIL préconise de ne pas dépasser 3 ans après le dernier contact avec un prospect. Comment expliquer que des données ont pu fuir après 10 ans si aucun contact n'est encore en cours...votre réputation en serait ternie.

Responsabilité: il y a une fuite de données chez un de mes sous traitant. Pas grave, c'est lui qui est responsable, je n'ai rien à faire.

En terme légale, votre responsabilité est engagée même si la fuite ne vient pas de chez vous. C'est vous qui avez choisi le sous traitant, c'était à vous de vous assurer qu'il avait les bonnes protections et procédures en place. Votre responsabilité sera engagée.

Un DPO doit-il absolument être un juriste? Après tout on parle de textes de lois, il est préférable d'être du métier.

Le DPO devra avoir des compétences de juriste, d'ingénieur en informatique mais également de gestion de projet et d'approche globale. C'est le mouton à 5 pattes.

Le DPO est un chef de projet donc:

Un DPO est un chef de projet avant tout. Il peut aider mais doit avant tout gérer le projet, pas faire à la place des équipes.

Le DPO doit absolument être nommé en interne.

Un DPO peut aussi bien être externe qu'interne. L'avantage d'un DPO externalisé est qu'il n'aura aucun conflit hiérarchique au sein de l'entreprise. De plus et suivant la taille de votre entreprise, ce peut être un DPO utilisé pour quelques jours par an sans avoir à embaucher une personne supplémentaire au sein de l'entreprise.

J'ai fait le registre des traitements. Rien ne changera donc je peux l'archiver, mon processus de mise en conformité est terminé.

Un registre évolue en permanence en fonction de vos traitements. Il se peut que vous changiez de personnel, de logiciel, de sous traitant. Il faudra donc modifier ce registre. De plus, un registre amène souvent des préconisations qu'il faudra mettre en place. Ce n'est donc pas fini.

Un client me demande les données que je possède sur lui. Je lui répond:

Le RGPD impose une réponse aux demandes des clients ou utilisateurs. Vous avez un délai imposé. Si ce délai devait être dépassé, il faudrait justifier pourquoi.