Structure publique et parapublique
Structure publique et parapublique. Le RGPD s’applique à toutes les structures qui traitent des données personnelles de personnes se trouvant dans l’UE. Et ce, qu’elles soient publiques ou privées, grandes ou petites. De fait, le RGPD s’applique à toutes les entreprises qui traitent des données personnelles de résidents de l’Union européenne. Quels que soient leur taille, leur secteur d’activité ou leur localisation. En fait, il n’y a pas d’exemption pour les Petites et Moyennes Entreprises (PME).
Le RGPD impose aux Structures publiques et parapubliques de respecter plusieurs obligations :
Dans les faits, les structures publiques et parapubliques sont soumises aux mêmes obligations que les autres organismes en matière de RGPD, avec quelques spécificités.
Structure publique et parapublique : Voici un résumé des principales obligations :
- Désigner un Délégué à la Protection des Données (DPO), qui sera le référent en matière de RGPD au sein de la structure et auprès de la CNIL. Cette désignation est obligatoire pour toutes les structures publiques, quelle que soit la nature ou la sensibilité des données traitées.
- Informer les personnes concernées de la collecte et du traitement de leurs données. Ainsi que de leurs droits (accès, rectification, effacement, opposition, portabilité, etc.)..
- Obtenir le consentement explicite des personnes concernées pour tout traitement de données personnelles. Sauf si le traitement est nécessaire pour l’exécution d’une mission de service public, le respect d’une obligation légale ou la sauvegarde des intérêts vitaux.
- Limiter la collecte et le traitement des données au strict nécessaire pour la finalité poursuivie. Et ne pas les conserver au-delà de la durée nécessaire.
-
Structure publique et parapublique : pour poursuivre :
- Assurer la sécurité et la confidentialité des données, en mettant en place des mesures techniques et organisationnelles appropriées. Pour prévenir les risques de perte, de vol, de divulgation ou d’altération.
- Tenir un registre des activités de traitement des données personnelles. Il doit contenir des informations sur l’identité du responsable du traitement, les finalités du traitement. Mais aussi, les catégories de données et de personnes concernées, les destinataires des données, les transferts éventuels vers des pays tiers. Et enfin, les délais de conservation et les mesures de sécurité. Ce registre est obligatoire pour les structures publiques, quelle que soit leur taille ou le volume de données traitées.
-
Pour poursuivre :
- Réaliser une Analyse d’Impact sur la Protection des Données (AIPD) avant tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Par exemple : profilage, vidéosurveillance, biométrie, etc. Cette analyse doit évaluer la nécessité et la proportionnalité du traitement. Ainsi que les risques identifiés et les mesures prévues pour les atténuer.
- Notifier à la CNIL toute violation de données personnelles dans un délai maximum de 72 heures après en avoir pris connaissance. Sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. En cas de risque élevé, il faut également informer sans délai les personnes concernées.
