LE CONSEIL DE DATA LEGAL DRIVE
[Art. 32 RGPD]
Manquement à l'obligation de sécurité
Afin de vous préserver contre les cyberattaques éventuelles qui nuisent à votre entreprise, tant d’un point de vue opérationnel qu’à sa réputation, plusieurs « gestes sains » peuvent être mis en place.
Par exemple, respecter une politique de mots de passe afin de restreindre l’accès aux divers postes de travail, avec des mots de passe difficiles à deviner, et renouvelés régulièrement.
LE CONSEIL DE DATA LEGAL DRIVE
[Art. 6 RGPD]
Défaut de base légale
Comme le rappelle le RGPD, à l’article 6 : Un traitement de données n’est licite que s’il repose sur une base légale.
Beaucoup de sanctions ont donc été prononcées pour défaut de base légale : autrement dit, des traitements de données qui ne reposaient sur rien.
Ainsi, en amont de la mise en œuvre de votre traitement de données, il est donc indispensable d’analyser l’article 6 du RGPD, et les six bases légales proposées.
Posez vous ensuite la question suivante : » Sur quelle base légale repose mon traitement » ?
Par exemple, si vous choisissez l’obligation légale, vous devez être en mesure de le justifier, en citant le texte légal qui vous oblige à mettre en oeuvre ce traitement de données.
LE CONSEIL DE DATA LEGAL DRIVE
[Art. 4 RGPD]
Défaut de recueil du consentement
Le consentement est l’une des bases légales prévues par le RGPD, sur laquelle un traitement de données peut se fonder. Le consentement n’a pas systématiquement à être recueilli.
En effet, un responsable de traitement peut s’appuyer sur une autre base légale (par exemple, un contrat).
Dans d’autres cas, le consentement devra obligatoirement être recueilli, par exemple dans le cadre d’une activité de prospection commerciale en B to C.
Lorsqu’il doit être recueilli, il doit donc l’être correctement. A ce titre, le RGPD donne quatre critères pour déterminer si un consentement est, ou non, valide.
Il doit être :
Libre : ni contraint, ni influencé – la personne ne doit pas subir de conséquences négatives en cas de refus
Spécifique : Le consentement donné par une personne ne doit correspondre qu’à un seul traitement pour laquelle la finalité est déterminée
Eclairé : En tant que responsable de traitement, vous avez l’obligation d’informer la personne concernées de certains éléments comme votre identité, les finalités du traitement, les données collectées ect…
Univoque : La personne concernée par le traitement de donnée doit consentir au traitement par une déclaration ou tout autre acte positif clairs. Il est donc utile de rappeler que les cases pré-cochées ou encore l’absence de traitement à un courriel ne constituent pas un consentement valable. En effet, en matière de données personnelles, qui ne dit mot ne consent pas.
LE CONSEIL DE DATA LEGAL DRIVE
[Art. 13 & 14 RGPD]
Manquement à l'obligation d'information des personnes
Le RGPD impose aux responsables de traitement une obligation de transparence, reprise aux arti