Back to Top

Le RGPD est là

Depuis 2018, le RGPD s'applique aux écoles comme aux autres entreprises et ASBL en Europe. L'autorité de contrôle belge à depuis lors déjà pris des mesures à l'encontre 3 écoles dasn notre pays  !

Entre autre, chaque école doit avoir désigné un DPO. Etes-vous en ordre ?

Votre registre de traitements des Données Personnelles est-il établi, vos enseignants ont-ils été formés ? Savez-vous que faire en cas d'execrice du droit des personnes ?

 

Sinon, il est plus que temps !!!!

 

N'hésitez pas à nous contacter pour nous demander une remise de prix ! Le lien est ici.

 

Qu’est-ce que le RGPD ?

Dès le 25 mai 2018, le RGPD affectera toutes les organisations qui collectent et traitent les données de résidents européens.

Instauré afin de rester en phase avec le paysage numérique, le nouveau règlement a pour but de renforcer les droits de protection des données personnelles et de simplifier la libre circulation des données personnelles en Europe en appliquant un cadre cohérent de protection des données dans tous les payes européens.

Tout manquement aux exigences du règlement pourra s’avérer coûteux avec des amendes allant jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros, selon le montant le plus important.

 

Qu'est ce qu'un DPO

Alors que le paysage numérique ne cesse d’évoluer, l’Union Européenne à décider de s’adapter et d’unifier les réglementations de ses Etats membres en créant le Règlement Général Européen sur la Protection des Données (RGPD), autrement appelé Règlement Européen n. 2016/679. Ce règlement adopté le 27 avril 2016 sera mis en vigueur dans tous les Etats membres à compter du 25 mai 2018.

L’une des principales mesures est la nomination d’un DPO (en Anglais pour Data Protection Officer ou délégué à la protection des données ) détaillée dans les articles 37 à 39 du règlement. . Selon les cas, la nomination d’un DPO pourra être obligatoire ou fortement conseillée notamment dans le cadre de traitement de données à grande échelle, de suivi régulier et systématique ou de données sensibles. Il sera également obligatoire dans le secteur public ou médical quel que soit la nature du traitement. Ce n'est pas la taille de l'entreprise ou le volume de données qui en décide mais le type de données.

Le RGPD ne détaille pas le profil du DPD dans son article 35 mais précise qu’il doit disposer d’ «une connaissance approfondie du droit et des pratiques de protection des données ». Un niveau expert de connaissances peut être nécessaire « en fonction des opérations de traitement de données effectuées et de la protection requise pour les données personnelles traitées par un contrôleur ou un processeur ».

La DPO aura une responsabilité plus accrue que le Correspondant Informatique et Libertés et sera impliqué dans tous les aspects de la conformité de traitement de données à caractère personnel dès son élaboration. Il devra également avoir un accès direct au management et aura des obligations de confidentialité.

Les responsables de traitement des données et les sous-traitants devront s’assurer de la participation du DPO et lui fournir les ressources nécessaires. En somme, le DPO est un élément de coordination interne et externe, agissant comme le point de contact de l’autorité de contrôle et des personnes concernées, avec qui il doit coopérer.

Le Responsable du traitement des données

Le RGDP prévoit que certains responsables du traitement des données sont obligés de désigner un délégué à la protection des données (Data Protection Officier). La commission de la vie privée, l’organe sanctionnateur belge a confirmé que :

Les écoles font partie des organisations devant nommer un DPO.

Dans le cas des écoles, c’est le Pouvoir Organisateur qui, étant le responsable des données, doit veiller à l’application et au respect du règlement de protection des données Européen. L’article 5 exige qu’il soit en mesure de démontrer :

 

  • L’exigence de transparence dans le traitement et l’utilisation des données personnelles ;
  • La limitation du traitement des données personnelles à des finalités légitimes et spécifiées ;
  • La limitation de la collecte de données personnelles aux finalités visées ;
  • Les possibilités aux personnes concernées de corriger ou de demander la suppression de leurs données personnelles ;
  • Les limitations du stockage de données personnelles à la durée nécessaire à la finalité visée ;
  • L’assurance que les données personnelles sont protégées avec des pratiques de sécurité appropriées.

Les sanctions prévoient que les responsables d’un traitement peuvent s’exposer à des amendes d’un montant maximal de 20 millions d’euros ou correspondant à 4 % de leur chiffre d’affaires annuel mondial, sans oublier les éventuels dommages et intérêts des préjudices subis suite à un recours en justice de le personne impactée.

Il lui incombe également de nommer un DPO, Interne ou externe. Ce DPO devra disposer des libertés et compétences prévues dans le RGPD.

 

Dommages de réputation

Le rapport du Ponemon Institute a constaté que le coût d'une violation de données est affecté par le nombre d'enregistrements piratés et la perte de clients par la suite («désabonnement anormal»). Outre l'amélioration des pratiques de protection des données en général, les organisations ne peuvent rien faire pour prévenir l'ampleur d'une violation, mais elles peuvent atténuer le taux de désabonnement en répondant à la responsabilité de l'incident et en gérant leur réputation.

De nombreuses organisations ont été tentées de minimiser l'ampleur d'une violation ou de la dissimuler complètement, mais cela finit toujours par se retourner contre eux, le public étant plus furieux que la violation elle-même.

Les gens sont de plus en plus conscients que, dans la plupart des cas, les violations de données sont une fatalité plutôt qu'un signe d'incompétence, il est donc toujours préférable de s'attaquer à l'incident de front. Les entreprises peuvent rassurer leurs clients en leur demandant de prendre au sérieux la protection des données en respectant les exigences de notification des violations de données, les procédures de continuité des opérations et en offrant aux victimes des services gratuits de protection de l'identité.