RGPD : plan en dix étapes pour les employeurs

25 octobre 2017 - Par Kelly Lespinoy - Temps de lecture : 4 minutes
Accords écrits GDPR

D'ici le 25 mai 2018, tous vos processus doivent être en conformité avec les règles européennes strictes relatives à la protection des données à caractère personnel (RGPD). Mais que cela signifie-t-il précisément ? Et que devez-vous faire concrètement en tant qu'employeur ?

RDPG plan employeurs

Suivez notre plan pratique en 10 étapes ! Vous serez ainsi certain d'avoir tout couvert.

1. Soyez attentif au respect de la vie privée.

Personne ne pourra échapper au renforcement des règles relatives au respect de la vie privée. Chaque entreprise traite (= conserver, enregistrer, utiliser, etc.) des données à caractère personnel (= chaque donnée relative à une personne). Le RGPD s'applique donc à toutes les entreprises, peu importe leur taille.

Le traitement des données à caractère personnel est uniquement autorisé en cas de raison valable. Ces raisons font l'objet d'une énumération limitative dans le règlement. Les principales sont

  • satisfaire à une obligation légale ;
  • poursuivre un intérêt légitime ;
  • l'autorisation de la personne.

Les figures clés de votre entreprise doivent réaliser que toutes les données à caractère personnel ne peuvent pas être traitées. Et si ledit traitement est autorisé, celui-ci doit être réalisé dans le plus grand respect de la vie privée.

Conseil : peut-être existe-t-il déjà un registre des risques au sein de votre entreprise. Cela pourrait être un bon point de départ.

2. Nommez un Data Protection Officer (DPO).

Les instances publiques ou organismes gouvernementaux qui traitent des données à caractère personnel, à l'exception des tribunaux, sont obligés de nommer un DPO. Si vous traitez à grande échelle des données à caractère personnel ou si ces données sont de nature sensible, vous êtes également obligé de nommer un DPO.

Le DPO peut être un collaborateur – par ex. le responsable de la sécurité IT – ou quelqu'un externe à l'entreprise. Il ou elle veille au respect de la politique de protection de la vie privée et coordonne toutes les actions.

3. Créez un registre des données.

Chaque entreprise doit tenir un registre des données. Il s'agit d'un relevé de tous les traitements de données. Vous trouverez un exemple avec un mode d'emploi sur le site internet de la Commission vie privée.

4. Améliorez la transparence concernant le traitement des données.

La transparence concernant le traitement de données personnelles était déjà obligatoire, mais cette obligation est maintenant étendue. Votre personne de contact chez SD Worx peut vous fournir des dispositions à reprendre dans le Règlement de travail afin de vous aider à informer les travailleurs quant à leurs droits. Ces dispositions constituent une ébauche, vous devez les compléter avec les éléments pertinents pour votre entreprise.

5. Garantissez les droits des interesses.

Les personnes dont les données sont traitées vont bénéficier de nouveaux droits ainsi que d'un renforcement de leurs droits existants. En tant qu'employeur, vous devez veiller à ce que chaque personne puisse exercer ces droits. Vous devez pouvoir fournir un accès aux données et vous devez, par exemple, veiller à ce que les données puissent être effacées. Il est possible que certaines adaptations techniques soient necessaires.

 6. Veillez à cultiver un réflexe de protection de la vie privée.

À chaque développement de nouveaux processus, d'outils, etc. vous devez toujours avoir le réflexe de veiller à la plus grande protection possible des données à caractère personnel. Cet aspect doit être intégré dès la conception.

7. Prévoyez une procédure en cas de problème.

Même si vos données sont bien protégées, une fuite de données n'est jamais à exclure. C'est pourquoi vous devez prévoir une procédure pour la détection, la communication et l'analyse de fuites dans la protection des données.

Les fuite de données susceptibles de causer un préjudice doivent être mentionnées à la Commission vie privée.

8. Vérifiez les contrats existants.

Analysez attentivement les contrats existants. Répondent-ils aux nouvelles règles plus strictes en matière de respect de la vie privée ? Les mesures de sécurité prévues sont-elles suffisantes ?

9. Déterminez une autorité habilitée pour les activités internationales.

Si vous êtes actif à l'international, vous devez déterminer sous quelle autorité de contrôle vous tombez.

10. Demandez de l'aide.

La Commission vie privée veillera en Belgique à la bonne application de ces nouvelles règles. Son rôle est également d'informer tous les intéressés. Vous trouverez sur leur site internet de nombreux trucs et astuces.

Vous pouvez faire appel à un consultant de chez SD Worx Consultance afin de vous accompagner. Envoyez un e-mail à legalconsulting@sdworx.com ou appelez le +32 (0)78 15 90 22.


Les 7 novembre et 8 décembre de cette année, et le 9 février 2018, SD Worx Learning organise une formation sur le RGPD. Vous pouvez également y participer. Pour ce faire, envoyez un e-mail à anouk.reygel@sdworx.com.

 


Avez-vous une question sociojuridique ?

Posez votre question à Ella

Plus d'information ?

Contactez SD Worx

Suivez la communauté SD Worx