Please enable JavaScript.
Coggle requires JavaScript to display documents.
Module 3: Les responsabilités des acteurs - Coggle Diagram
Module 3: Les responsabilités des acteurs
Unité 2: Partage des responsabilités
Introduction
Opportunité pour les acteurs
Plusieurs responsables de traitement
Notion de coresponsabilité
Deux responsables de T -> accord -> finalité et les moyens d'un même traitement
Points de vigilance
Clairifier par voie d'accord
Libres de se répartir leurs obligations
Unité 4: Sanctions et voies de recours
Introduction
Garantir le respect des libertés et de la vie privée
RGPD -> CNIL
Sanctionner les organismes non conformes
Personnes -> valoir leurs droits plus facilement
Sanctions
Rappel à l'odre
Injonction de mettre le traitement en conformité
Limitation temporaire ou définitive du traitement
Suspension des flux de données
Ordre de satisfaire aux demandes d'exercice des droits
Ordre de satisfaire aux demandes d'exercice des droits des personnes
Retrait d'une certification
Amende administrative
Gradations des amendes administratives
Soit 10 millions d'euros ou 2% du chiffre d'affaires mondial
Soit 20 millions d'euros ou 4% du chiffre d'affaires mondial
Voies de recours
donnée -> violation du RGPD -> autorité de contrôle
Juridictios de l'Etat membre
Où
Se situe sa résidence habituelle
Se situe son lieu de travail
La violation a été commise
Autorité appartenant à l'Etat membre
Où
Se situe sa résidence habituelle
Se situe son lieu de travail
La violation a été commise
Réparation effective
Chacun est tenu responsable du dommage dans sa totalité
Unité 1: Nouvelle logique de responsabilisation: L'accountabily
Introduction
Notion centrale du RGPD
Accountability -> Responsabilité
Definition
Tous les organismes, doivents s'inscrire dans une posture de mise en conformité dynamique
Mesures techniques, organisationnelles
Minimisation
Durée limitée de conservation
Sécurité
Mise en conformité
Registre des activités
Délégué à la protection des données
Politique de confidentialité
Analyse d'impact
Accountability
Dyamique
Doit être réévaluer régulièrement et les actualiser si nécessaire
Globale
Mobilise les acteurs à tous niveaux d'un organisme
Protection des données dès la conception et par défaut
Privacy by design
Privacy by default
Limiter les opérations de traitement
Peuvent impliquer de:
Permettre à un client de paramétrer par défaut -> collece de données
Purger les données d'une base active
Ne collecter que les données strictement nécessaires à la finalité du traitement
Gérer des habilitations et droit d'accès informatique
la documentation
Tracer et formaliser ses obligations
Piloter la conformité
Les outils de la conformité
2 catégories d'outils:
Obligatoires
Registre des activités des traitements
Le délégué à la protection des données
L'analyse d'impact pour traitement
Notification de violations de données
Recommandés
Certification
Codes de conduite
Règles d'entreprise contraignantes (BCR)
Unité 3: Responsabilités spécifique des sous-traitants
Introduction
RGPD créé la relation responable de T + sous-traitants
Imposer des obligations spécifiques
Organismes concernées:
Prestataires de services
Entreprises de services numérique
Sociétés offrant des services de télésurveillance
Agence de marketing / communication
Prestataires gestionnaires de paye
Les obligations
1-Transparence et traçabilité
Etablir avec son client un contrat ou un autre acte juridique
Recenser par écrit les instructions de son client concernant les traitements de ses donées
Demander l'autorisation écrite de son client
Mettre à la disposition de son client toutes informations pour démontrer le respect de ses obligations
Tenir un registre des catégoriesd'activités de traitement
2- Sécurité des données traités
Garantir la sécurité des données
Soumettre tous ses employés qui traitent les données des clients à une obligation de confidentialité
Prendre -> mesures garantissant aux données -> sécurité adapté au risques
Notifier aux clients toute violation de leur données
Prestation et instructions du client
Supprimer toutes les données ou les renvoyer au client
Détruire les copies existantes
3-Encadrement de la sous-traitance ultérieure
Condition n°1
Doit avoir reçu -> autorisation écrite -> du responsable de T
Condition n°2
S'assurer que son sous-traintant présente des garanties suffisantes
4- Accompagnement du responsable de traitement
Aider les resposables -> s'acquitter -> de leurs obligations
Prise en compte des demandes des personnes (droits)
Sécurisation appropriée des données
Réalisation d'analyses d'impact sur la vie privée et les libertés
Notification des violations de données
DPO et registre des traitements
Les sous-traitants
Tenir un registre des activités de traitement effectuées pour le compte de leurs clients