Structure de traitement automatisé et profilage

• Structure de traitement automatisé et profilage : 
• Informer les personnes concernées de la collecte et du traitement de leurs données, ainsi que de leurs droits. C’est-à-dire accès, rectification, effacement, opposition, portabilité, etc.
• Obtenir le consentement explicite des personnes concernées pour tout traitement de données personnelles. Sauf si le traitement est nécessaire pour l’exécution d’un contrat. Mais aussi, le respect d’une obligation légale ou la sauvegarde des intérêts vitaux du responsable de traitement.
• Limiter la collecte et le traitement des données au strict nécessaire pour la finalité poursuivie. Et ne pas les conserver au-delà de la durée nécessaire.
• Assurer la sécurité et la confidentialité des données. En mettant en place des mesures techniques et organisationnelles appropriées pour prévenir les risques de perte, de vol, de divulgation ou d’altération.
• Désigner un délégué à la protection des données (DPO). Il sera le référent en matière de RGPD au sein de la structure et auprès de la CNIL. Cette désignation est obligatoire pour les structures qui traitent des données sensibles (santé, opinions politiques, etc.). Elle l’est également pour celles qui effectuent un suivi régulier et systématique des personnes. Ou qui sont des autorités publiques.
• Tenir un registre des activités de traitement des données personnelles. Il doit contenir des informations sur l’identité du responsable du traitement. Mais aussi, les finalités du traitement, les catégories de données et de personnes concernées. Ou encore, les destinataires des données, les transferts éventuels vers des pays tiers. Et enfin,  les délais de conservation et les mesures de sécurité. Ce registre est obligatoire pour les structures de plus de 250 salariés. Ou pour celles qui traitent des données à risque ou non occasionnellement.

Pour poursuivre…

• Réaliser une Analyse d’Impact sur la Protection des Données (AIPD) avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Par exemple : profilage, vidéosurveillance, biométrie, etc. Cette analyse doit évaluer la nécessité et la proportionnalité du traitement. Ainsi que les risques identifiés et les mesures prévues pour les atténuer.
• Notifier à la CNIL toute violation de données personnelles dans un délai maximum de 72 heures après en avoir pris connaissance. Sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. En cas de risque élevé, il faut également informer sans délai les personnes concernées.
• Respecter le droit à l’opposition des personnes concernées à tout moment au traitement automatisé de leurs données ou au profilage. Ce droit implique que la structure doit cesser le traitement concerné ou fournir des motifs légitimes et impérieux pour le poursuivre.
• Respecter le droit à ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs sur la personne concernée. Ce droit implique que la structure doit garantir l’intervention humaine dans le processus décisionnel ou obtenir le consentement explicite de la personne concernée.