• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
RGPD : Article 25 – Protection des données dès la conception et protection des données par défaut
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
  • GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT

Accueil » RGPD : Article 25 – Protection des données dès la conception et protection des données par défaut

RGPD : Article 25 – Protection des données dès la conception et protection des données par défaut

par Audit Pia | 4/Mai/2018 | Le RGPD, Le RGPD article par article |

Article 25 – Protection des données dès la conception et protection des données par défaut
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
…
Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

article 25

L’objectif du législateur a été dans cet article de vous obliger à bien prendre en compte la protection des droits fondamentaux. Il vous oblige à tout penser via ce prisme (principes de nécessité). Et ce dès la conception avec le « data protection by design » et la protection par défaut « data protection by default« .

Ces grands principes de « data protection by design » et « data protection by default » ont pour objectif de prendre en compte les droits et les intérêts des individus dès la conception du traitement de données et des paramétrages par défaut. Ainsi, tous les participants aux projets dans votre entreprise doivent être bien au fait des règles de protections des données personnelles du RGPD. (cf : formation des collaborateurs au RGPD)

Le principe de data protection by design vous oblige à prendre les mesures et mettre en place les procédures techniques et organisationnelles appropriées :
– au moment de la définition du traitement
– au moment du traitement lui-même pour de le rendre conforme au Règlement.

Bien entendu, les mesures que vous aurez à adopter doivent tenir compte

  • des techniques disponibles,
  • des coûts liés à leur mise en œuvre vis à vis de la nature,
  • de la portée,
  • du contexte et
  • des finalités du traitement et suivant la gravité du risque et de sa probabilité. Ce n’est donc pas si simple de positionner le curseur.

la pseudonymisation.
La notion de pseudonymisation est le fait que vous mettiez en place un traitement des données à caractère personnel de telle façon qu’elles ne puissent plus être attribuées à une personne physique. Si vous conservez des informations supplémentaires séparément et soumises à des mesures de sécurité techniques et organisationnelles, vous gardez le droit de retrouver la vraie personne cachée derrière cette pseudonymisation.

la protection par default
Elle vous oblige à adopter des dispositions consistant à limiter par défaut le traitement de données à caractère personnel :

  • limiter à ce qui est strictement nécessaire,
  • limiter la quantité de données traitées, et leur accessibilité
  • limiter leur période de conservation.

Enfin, cet article 25, vous propose explicitement d’avoir recours à une certification approuvée conformément à l’article 42 vous permettant de démontrer le respect des obligations du RGPD. Nous pensons donc que le fait d’être certifiée pour les PME sera dans un avenir proche, une obligation.

Un peu comme nous avons aujourd’hui l’attestation d’assurance, dans quelques années on vous demandera votre certificat de conformité.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook