Se conformer au RGPD n’est pas une tâche aisée, et les collaborateurs se perdent parfois dans la réglementation et les interdits.
Fort de 5 ans d’expérience dans le domaine de la protection des données personnelles, Datanaos vous propose dans une série d’articles un petit tour des questions les plus fréquemment posées à nos délégués à la protection des données externalisés.
Cet article est le cinquième de la série commencée en février 2024. Votre question ne se trouve pas dans cet article ? Peut-être la trouverez vous dans l’un de nos articles précédents ?
- Conformité RGPD – Ces questions que vous posez fréquemment
- Conformité RGPD – Ces questions que vous posez fréquemment – 2
- Conformité RGPD – Ces questions que vous posez fréquemment – 3
- Conformité RGPD – Ces questions que vous posez fréquemment – 4
Combien de temps prend la réalisation d’une AIPD ?
L’Analyse d’Impact sur la Protection des Données (abrégée en “AIPD”, parfois en “PIA” ou “EIVP”) est une l’analyse rendue obligatoire par l’article 35 du RGPD sur certains types de traitement seulement.
La réalisation d’une AIPD prend un temps variable, selon les finalités du traitement, les données qui sont traitées, les organismes qui interviennent dans le traitement, etc. Il est donc impossible de définir une durée “normale” d’une AIPD.
Il est important d’avoir en tête qu’une AIPD est une analyse en profondeur d’un traitement de données et s’avère à ce titre habituellement longue : une AIPD prend en général plusieurs mois, regroupe un ensemble documentaire relativement conséquent, et nécessite l’intervention de plusieurs catégories de professionnels.
Que dois-je mettre à jour dans mes contrats ?
Cela va dépendre des types de contrats de l’organisme.
Dans le cadre de contrats de travail par exemple, il est recommandé d’ajouter des clauses, ou de les annexer, fournissant aux collaborateurs embauchés des informations sur la manière dont l’organisme traite les données les concernant.
Dans le cadre de contrats commerciaux, il est recommandé de toujours indiquer un paragraphe sur la manière dont les données des personnes de contact sont traitées.
Si un contrat porte sur la fourniture d’un service ou d’un produit impliquant un traitement de données personnelles, il est nécessaire que le Responsable du traitement indique précisément les données concernées par le traitement, et les conditions du traitement (ces informations, appelées “Instructions du Responsable du traitement”, sont prévues à l’article 28 du RGPD).
La nature et le contenu des informations fournies va dépendre du contrat, et de la relation que l’organisme entretient avec son cocontractant.
Je réponds aux demandes de contact ou aux commentaires de mes followers sur les réseaux sociaux, est-ce un traitement de données au sens du RGPD ?
Le fait pour un responsable marketing, un responsable communication, ou plus souvent un community manager, de répondre aux commentaires, aux demandes de contact, aux messages privés, etc. reçus par un compte d’entreprise sur les réseaux sociaux est constitutif d’un traitement de données au sens du RGPD.
Ce traitement doit apparaître dans le registre des traitements de données de l’organisme.
Les registres et la documentation obligatoire au sens du RGPD sont-ils réutilisables ?
Une question plus souvent posée par les directions souhaitant maximiser l’utilité des registres et de la documentation tenue par le DPO.
Outre l’intérêt pratique des registres de traitement de données et de violation de données, fournissant des indications importantes sur les activités d’un organisme, il est possible de mutualiser certaines informations au sein de ces registres afin de simplifier la réalisation d’analyses postérieures.
Par exemple, les délégués à la protection des données externes Datanaos recommandent très souvent l’ajout dans le registre des traitements de mentions pourtant non obligatoires (des mentions non listées par le RGPD) présentant un intérêt autant pour le DPO lui-même que pour le RSSI ou un éventuel auditeur : les noms des applicatifs hébergeant les données, leur localisation ou encore les différents formats et supports de conservation / communication de la donnée en font partie.
Des registres améliorés et maintenus sont une source précieuse d’information lorsqu’une AIPD ou une analyse de sécurité (Ebios par exemple) doivent être menées.
Ceci conclut notre cinquième article sur les questions qui nous sont fréquemment posées. A bientôt pour plus de questions/réponses !
Depuis maintenant 5 ans Datanaos accompagne de nombreuses entreprises, associations et organismes publics dans leur conformité au RGPD. Audits, mise en conformité, formations, délégué à la protection des données externalisé, nous proposons un large éventail de prestations de qualité. N’hésitez pas à nous contacter pour vos projets !