Ce contrôle sera bien sûr, pour un plus grand respect du règlement au sein de l’entreprise. Cela permettra d’aborder certaines questions avec les dirigeants quant à la gestion des données récupérées par l’entreprise mais aussi à son utilisation pour ne pas dévier des indications apportées.
Pour les entreprises qui ne possèdent pas un effectif aussi important cette gestion sera effectuée par une entreprise proposant ces services.
A l’heure actuelle, aucune formation ne permet d’obtenir ces compétences puisque le sujet est encore récent et mêle plusieurs domaines. Le délégué à la protection des données, doit avoir des compétences transversales notamment juridique et en gestion de base de données. Ce type de profil étant presque une arlésienne, il faudra attendre quelque temps avant de voir arrivé ce type de profil.
En attendant, les entreprises devront former leurs salariés à ces compétences spécifiques que ce soit sur IT pour les juristes ou à l’inverse des formations juridiques pour les spécialistes de gestion de données.
Une formation des collaborateurs
La seule nomination d’un délégué à la protection des données ne suffira pas puisque cette protection doit devenir une norme au sein des entreprises. Le respect du droit à la vie privé est une notion connue de chacun. Il faut informer chaque salarié de l’entreprise du fonctionnement du règlement.
Des formations complémentaires peuvent être exigées pour les employés ayant un poste stratégique sur la récupération, l’analyse ou encore l’exportation des données. Ces formations vont permettent d’être en règle avec le RGPD.
Tenir un registre des traitements des données
L’un des changements les plus radical du RGPD est l’instauration d’un registre. Ce registre sera obligatoire pour les entreprises de plus de 250 salariés. Il aura pour but de pouvoir établir l’origine des données, si un accord préalable à été accordé par l’individu mais aussi la finalité de cette dernière.
La CNIL pourra à tout moment consulter ce dernier pour vérifier s’il respecte bien les objectifs fixés. Elle pour également vérifier les actions du responsable des données.
Un consentement explicite et la preuve
Pour éviter toutes sanctions, les sociétés qui récolteront des données sur leurs prospects et clients devront obtenir un consentement explicite. Actuellement la récolte se fait de manière implicite et les traces d’un accord ne sont pas visibles. Désormais, il faudra que la récolte soit clairement notifiée aux citoyens. Il sera indispensable de conserver ces preuves pour éviter toutes sanctions. Pour le cas particulier des mineurs, le consentement se fera par le représentant légal de ce dernier. Concernant l’opt-in BtoB, le consentement n’est pas obligatoire. Toutefois, il est fortement conseillé pour les différents partis, d’appliquer ce principe d’opt-in.
Quesaco des entreprises spécialisées en location et ventes de données
Pour les entreprises spécialisées dans la vente ou la location de données, le règlement a une politique claire puisqu’auparavant la responsabilité n’incombait que l’acheteur ou le louer. Désormais, il y aura une coresponsabilité pour l’entreprise traitant les données. Le règlement met fin à l’immunité des sous-traitants en introduisant ce principe de coresponsabilité.
Se préparer à la possibilité d’une fuite de données
Les données personnelles étant une source à risque par l’intérêt que portent les entreprises, des fuites peuvent avoir lieu. Les entreprises devront améliorer la protection de leurs données et communiquer la fuite à la CNIL sous 72 heures. La diffusion d’une fuite, ne doit pas seulement affecter la CNIL mais aussi les individus dont les informations ont circulé sans autorisation. Elle doit tout de même avoir un caractère important, voir grave, pour être notifié. Il en est de même en cas de destruction, de perte ou encore d’altération.
Un autre cas particulier concerne le transfert de données vers des pays hors Union Européenne. Il faudra alors une vérification du respect des normes de sécurité égales à celles du règlement. Si ce n’est pas le cas, il faudra alors avoir une clause garantissant la sécurité des données dans le contrat. De plus, les personnes sujettes au transfert seront prévenues au préalable si les données sont sensibles.