Le RGPD impose de nouvelles obligations aux responsables de traitement (RT) et aux sous-traitants (ST) en matière de protection des données personnelles. L’une des principales obligations est la notion d’accountability, qui implique que les RT et les ST doivent être en mesure de démontrer la conformité de leurs traitements de données aux exigences du RGPD, obligations incombant au RT et au ST.
Pour cela, les RT et les ST doivent mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles, et être en mesure de les faire respecter. Ils doivent également établir des procédures pour traiter les demandes des personnes concernées, comme le droit d’accès, de rectification ou d’effacement de leurs données personnelles.
En cas de non-conformité, les RT et les ST sont responsables des sanctions prévues par le RGPD, qui peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global annuel, selon la gravité de la infraction.
Exemples d’actions concrètes (non exhaustives) pouvant être mises en œuvre par le RT** afin que ce dernier puisse justifier du respect du RGPD :
- Tenir un registre des traitements de données à caractère personnel
- Adopter une procédure permettant de répondre dans les meilleurs délais à l’exercice des droits des personnes : droit d’accès, droitd’opposition, droit à l’effacement des données…
- Mettre en place une Politique de durée de conservation
- Supprimer/Archiver automatiquement toute ou partie des données lorsque la durée de conservation arrive à son terme
- Être en mesure de conserver et rapporter la preuve à tout moment du recueil du consentement
- Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement (Privacy by design/Privacy by default)
- Désigner un DPO
- Sensibiliser et former les membres du personnel Adopter des codes de conduite
- …
Le seul fait de ne pas fournir à l’autorité de contrôle les éléments attestant de la conformité du/des traitement(s) concerné(s) est susceptible d’entrainer une sanction. (lire notre fiche n°12 – Sanctions)**RT : Responsable de traitement
Contacter DPO PARTAGE au 01 83 64 42 98 pour toutes vos questions ou directement avec le tchat (en bas a gauche de votre écran) ou le Formulaire de contact
Devoirs d’information et de transparence Pour respecter le RGPD, vous devez également tenir vos devoirs d’information et de transparence vis-à-vis des participants à votre étude de marché.
Communiquez sur :
- L’identité et les coordonnées du responsable du traitement (la personne de votre entreprise qui décide de la finalité du traitement)
- Vos engagements en matière de protection des données personnelles
- Les destinataires des données collectées
- La durée de conservation des données
- Le caractère obligatoire ou facultatif des réponses
- L’existence de droits d’accès, de rectification et de suppression des données pour le participant pendant la durée de l’étude.
Ces informations doivent être facilement accessibles, dans un langage clair et intelligible. Pensez à inclure ces précisions dans les mentions légales de formulaire.
Externalisation des études à un sous-traitant Si vous externalisez vos enquêtes auprès d’un institut de sondage ou d’une société spécialisée, assurez-vous contractuellement qu’ils présentent des garanties suffisantes de conformité RGPD.
Exclusivité DPO PARTAGE
Trouver le DPO d'une société
Nouveau service pour trouver le DPO d'une société et lui ecrire pour rectifier vos données.
Annuaiare des DPOExigez qu’ils s’engagent par contrat à :
- Traiter les données uniquement selon vos instructions
- Ne pas communiquer les données à d’autres tiers
- Supprimer les données une fois le service réalisé
Ce contrat doit prendre la forme d’un acte juridique contraignant. L’externalisation ne vous exempte pas de vos responsabilités en termes de protection des données personnelles.
Désigner un référent RGPD/DPO Pour montre votre engagement RGPD, vous pouvez désigner un référent interne en la matière ou avoir recours à un Délégué à la Protection des Données (DPO) externe. Celui-ci pourra valider vos procédures d’enquêtes, réaliser des audits RGPD et vous assister en cas de besoin.
Avec ces bonnes pratiques, vous mènerez des études de marché utiles tout en protégeant efficacement les données personnelles des participants ! N’hésitez pas à contacter notre équipe de DPO externalisés pour plus d’accompagnement.
