2) Limitation de la finalité, des données et du stockage
Les entreprises sont censées limiter le traitement, collecter uniquement les données nécessaires et ne pas conserver les données personnelles une fois la finalité du traitement terminée. Cela entraînerait effectivement les exigences suivantes:
– interdire le traitement des données personnelles en dehors du but légitime pour lequel les données personnelles ont été collectées
– envoyer qu’aucune donnée personnelle, autre que nécessaire, ne soit demandée
– demander que les données personnelles soient supprimées une fois que le but légitime pour lequel elles ont été collectées est atteint
3) Droits des personnes concernées
Les personnes concernées se sont vu attribuer le droit de demander à l’entreprise quelles informations elles détiennent à leur sujet et ce que l’entreprise fait de ces informations. En outre, la personne concernée a le droit de demander une rectification, de s’opposer au traitement, de déposer une réclamation ou même de demander la suppression ou le transfert de ses données personnelles.
4) Consentement
Au fur et à mesure que l’entreprise a l’intention de traiter des données personnelles au-delà de la finalité légitime pour laquelle ces données ont été collectées, un consentement clair et explicite doit être demandé à la personne concernée. Une fois collecté, ce consentement doit être documenté et la personne concernée est autorisée à retirer son consentement à tout moment.
De plus, pour le traitement des données des enfants, le RGPD requiert le consentement explicite du parent (ou tuteur) si l’âge de l’enfant est inférieur à 16 ans.
5) Violations de données personnelles
Les organisations doivent tenir un registre de violation des données personnelles et, en fonction de leur gravité, le régulateur et la personne concernée doivent être informés dans les 72 heures suivant l’identification de la violation.
6) Confidentialité dès la conception
Les entreprises devraient intégrer des mécanismes organisationnels et techniques pour protéger les données personnelles dans la conception de nouveaux systèmes et processus; c’est-à-dire que les aspects de confidentialité et de protection devraient être garantis par défaut.
7) Évaluation de l’impact de la protection des données
Pour estimer l’impact des changements ou des nouvelles actions, une évaluation de l’impact sur la protection des données doit être effectuée lors du lancement d’un nouveau projet, changement ou produit. L’évaluation d’impact sur la protection des données est une procédure qui doit être effectuée lorsqu’un changement significatif est introduit dans le traitement des données personnelles. Ce changement pourrait être un nouveau processus ou un changement à un processus existant qui modifie la façon dont les données personnelles sont traitées.
8) Transferts de données
Le responsable du traitement des données personnelles a la responsabilité de garantir la protection des données personnelles et le respect des exigences du RGPD, même si le traitement est effectué par un tiers. Cela signifie que les responsables du traitement ont l’obligation d’assurer la protection et la confidentialité des données personnelles lorsque ces données sont transférées en dehors de l’entreprise, à un tiers et / ou à une autre entité au sein de la même entreprise.
9) Délégué à la protection des données
Lorsqu’il y a un traitement important de données personnelles dans une organisation, celle-ci devrait désigner un délégué à la protection des données. Une fois affecté, le délégué à la protection des données aurait la responsabilité de conseiller l’entreprise sur la conformité aux exigences du RGPD de l’UE.
10) Sensibilisation et formation
Les organisations doivent sensibiliser les employés aux principales exigences du RGPD et organiser des formations régulières pour s’assurer que les employés restent conscients de leurs responsabilités en matière de protection des données personnelles et d’identification des violations de données personnelles dès que possible.
Conclusion: les principes du RGPD sont essentiels pour comprendre le RGPD
Pour conclure, il existe un nombre important d’exigences liées au RGPD de l’UE. Il est important de comprendre ces exigences et leurs implications pour votre entreprise et de les mettre en œuvre dans le contexte de votre entreprise. Une telle mise en œuvre nécessiterait un effort dédié, comme celui de gérer un projet.