3 questions sur le RGPD*

Entretien avec Me Thierry CASAGRANDE Avocat, DPO*

Qu’est-ce qui change avec le RGPD ?

Les droits des personnes concernées par les informations gérées sont plus développés. Surtout, les obligations des responsables de traitements (ESMS, établissements gestionnaires…) et les sanctions qui y sont associées augmentent. Parmi les exigences nouvelles, on peut noter : - un audit et l’engagement d’une réflexion globale sur la protection des données personnelles, - des outils spécifiques et la mise en place une démarche continue de protection des données.

Que doit-on faire qui n’était pas déjà obligatoire avant le 25 mai 2018 ?

En pratique, il faut examiner chaque traitement mis en oeuvre, informatique et papier. Par exemple le suivi des usagers mais aussi la gestion du personnel. Pour chaque traitement, en fonction de sa finalité, il faut s’interroger sur les informations dont on a vraiment besoin, comment les gérer (informations sollicitées, partagées, durée de conservation…), comment les protéger. Il faut supprimer le traitement de données qui ne sont pas nécessaires. Il faut conserver les données pendant un temps limité, à déterminer. Il faut rendre effectifs les droits des personnes concernées, usagers et salariés notamment. Il faut les informer, voire obtenir leur consentement. Il faut assurer la formation des équipes. Il faut organiser des audits. Selon les cas, il faut réaliser une analyse d’impact ou encore désigner un DPO. Il faut pouvoir prouver que l’ensemble de cette démarche a bien été suivie et donc la formaliser : politique de confidentialité, registre, formulaires, contrats avec les sous-traitants, etc.

Quels sont vos conseils en qualité d’avocat et de DPO ?

Respecter le RGPD. Engager un travail de fond. Faire vivre la réflexion et les outils. Eviter les copier-coller. Prendre conseil. Désigner un DPO. Développer ou adopter un code de conduite adapté au secteur.

 

* RGPD : règlement général sur la protection des données - DPO : data protection officer