Introduction

Le règlement général de l’UE sur la protection des données (« GDPR ») entre en vigueur dans toute l’Union européenne le 25 mai 2018 et apporte avec lui les modifications les plus significatives à la loi sur la protection des données depuis deux décennies. Basé sur la protection de la vie privée par conception et en prenant une approche fondée sur le risque, le GDPR a été conçu pour répondre aux exigences de l’ère numérique.

Le XXIe siècle entraîne une utilisation plus large de la technologie, de nouvelles définitions de ce qui constitue des données personnelles et une forte augmentation du traitement transfrontalier. Le nouveau règlement vise à normaliser les lois sur la protection des données et le traitement dans toute l’UE; donner aux individus des droits plus forts et plus cohérents d’accéder à leurs renseignements personnels et de les contrôler.

Notre Comittment

Le CEMPaC (« nous » ou « nous » ou « notre ») s’engage à assurer la sécurité et la protection des renseignements personnels que nous traiterons, et à fournir une approche conforme et cohérente de la protection des données. Nous avons toujours mis en place un programme solide et efficace de protection des données qui respecte la loi existante et respecte les principes de protection des données. Toutefois, nous reconnaissons nos obligations en matière de mise à jour et d’élargissement de ce programme pour répondre aux exigences de la loi de 2018 sur le Règlement général sur la protection des données (GDPR), ainsi que des lois de 1988 et 2003 sur la collecte et l’utilisation des données personnelles.

La CEMPaC se consacre à la protection des renseignements personnels qui nous sont soumis et à l’élaboration d’un régime de protection des données efficace, adapté à ses besoins et qui démontre une compréhension et une appréciation du nouveau règlement. Notre préparation et nos objectifs de conformité au GDPR ont été résumés dans cette déclaration et comprennent l’élaboration et la mise en œuvre de nouveaux rôles, politiques, procédures, contrôles et mesures de protection des données afin d’assurer une conformité maximale et continue.

Comment nous nous préparons pour le GDPR

Le CEMPaC a déjà un niveau constant de protection et de sécurité des données dans l’ensemble de notre organisation, mais notre objectif est d’être pleinement conforme au GDPR d’ici le 25 mai 2018. Notre préparation comprend : –

  • Vérification de l’information – effectuer une vérification de l’information à l’échelle de l’entreprise afin d’identifier et d’évaluer les renseignements personnels que nous détenons, d’où ils proviennent, comment et pourquoi ils sont traités et si et à qui ils sont divulgués.
  • Politiques et procédures – mise en œuvre de nouvelles politiques et procédures de protection des données pour répondre aux exigences et aux normes du GDPR et à toutes les lois pertinentes sur la protection des données, y compris : –
  • Protection des données – notre principal document de politique et de procédure pour la protection des données a été révisé pour répondre aux normes et aux exigences du GDPR. Des mesures de responsabilisation et de gouvernance sont en place pour nous assurer que nous comprenons et diffusons adéquatement nos obligations et nos responsabilités; en se consacrant à la protection de la vie privée par la conception et les droits des individus.
  • Conservation et effacement des données – nous avons mis à jour notre politique et notre calendrier de conservation afin de nous assurer que nous respectons les principes de « minimisation des données » et de « limitation du stockage » et que les renseignements personnels sont stockés, archivés et détruits de manière conforme et éthique. Nous avons mis en place des procédures d’effacement dédiées pour respecter la nouvelle obligation de « droit à l’effacement » et nous savons quand les droits de ce sujet et d’autres données s’appliquent; ainsi que toutes les exemptions, les délais de réponse et les responsabilités en matière de notification.
  • Atteintes à la protection des données – nos procédures d’infraction garantissent que nous avons mis en place des mesures de protection et des mesures pour identifier, évaluer, enquêter et signaler toute violation de données personnelles le plus tôt possible.
  • Transferts internationaux de données et divulgations par des tiers – lorsque la CEMPaC stocke ou transfère des informations personnelles en dehors de l’UE, nous avons mis en place des procédures robustes et des mesures de sauvegarde pour sécuriser, chiffrer et maintenir l’intégrité des données.
  • Demande d’accès aux sujets (SAR) – Nous avons révisé nos procédures de R-S pour tenir compte du délai révisé de 30 jours pour fournir les renseignements demandés et pour rendre cette disposition gratuite. Nos nouvelles procédures détaillent la façon de vérifier le sujet des données, les mesures à prendre pour traiter une demande d’accès, les exemptions qui s’appliquent et une série de modèles de réponse pour s’assurer que les communications avec les sujets de données sont conformes, cohérentes et adéquates.
  • Base juridique pour le traitement – nous examinons toutes les activités de traitement afin d’identifier la base juridique pour le traitement et de nous assurer que chaque base est appropriée à l’activité à laquelle elle se rapporte. Le cas échéant, nous maintenons également des registres de nos activités de traitement, en veillant à ce que nos obligations en vertu de l’article 30 du GDPR et de l’annexe 1 du projet de loi sur la protection des données soient respectées.
  • Avis/politique de confidentialité – nous révisons notre avis de confidentialité pour nous conformer au GDPR, en veillant à ce que toutes les personnes dont nous procédons les renseignements personnels soient informées des raisons pour lesquelles nous en avons besoin, de la façon dont elles sont utilisées, de leurs droits, de la personne à qui les renseignements sont divulgués et des mesures de protection en place pour protéger leurs renseignements.
  • Obtention du consentement – nous avons révisé nos mécanismes de consentement pour l’obtention de données personnelles, en veillant à ce que les personnes comprennent ce qu’elles fournissent, pourquoi et comment nous les utilisons et en donnant des moyens clairs et définis de consentir à ce que nous traitions leurs renseignements. Nous avons élaboré des processus rigoureux d’enregistrement du consentement, en nous assurant que nous pouvons faire preuve d’un opt-in affirmatif, ainsi que des enregistrements d’heure et de date; et un moyen facile de voir et d’accéder au retrait du consentement à tout moment.

Droits de sujet de données

En plus des politiques et procédures mentionnées ci-dessus pour s’assurer que les individus peuvent faire respecter leurs droits à la protection des données, nous fournissons des informations faciles d’accès via notre site Web du droit d’une personne d’accéder à tous les renseignements personnels que le CEMPaC traite à leur sujet et de demander des informations sur : –

  • Quelles données personnelles nous détenons à leur sujet
  • Les objectifs du traitement
  • Les catégories de données personnelles concernées
  • Les destinataires à qui les données personnelles ont/seront divulguées
  • Combien de temps nous avons l’intention de stocker vos données personnelles pour
  • Si nous n’avons pas recueilli les données directement auprès d’eux, des informations sur la source
  • Le droit de faire corriger ou terminer des données incomplètes ou inexactes à leur sujet et le processus de demande de cette
  • Le droit de demander l’effacement des données personnelles (le cas échéant) ou de restreindre le traitement conformément aux lois sur la protection des données, ainsi que de s’opposer à tout marketing direct de notre part et d’être informé de toute prise de décision automatisée que nous utilisons
  • Le droit de porter plainte ou de demander réparation judiciaire et qui contacter dans de tels cas

Sécurité de l’information et mesures techniques et organisationnelles

La CEMPaC prend très au sérieux la vie privée et la sécurité des personnes et de leurs renseignements personnels et prend toutes les mesures et précautions raisonnables pour protéger et sécuriser les données personnelles que nous traiterons. Nous avons mis en place des politiques et des procédures robustes en matière de sécurité de l’information pour protéger les renseignements personnels contre l’accès, la modification, la divulgation ou la destruction non autorisés et avons plusieurs niveaux de mesures de sécurité, y compris SSL, contrôles d’accès, politique de mot de passe, cryptages, pratiques, restriction, informatique, authentification.

Rôles et employés gdpr

L’EHFF a une personne désignée comme agent de protection des données pour élaborer et mettre en œuvre notre feuille de route pour se conformer au nouveau règlement sur la protection des données. Notre DPO gère également les mêmes exigences pour cempac. Le DPO est chargé de sensibiliser les deux organisations au GDPR, d’évaluer notre état de préparation au GDPR, d’identifier les zones à écart et de mettre en œuvre les nouvelles politiques, procédures et mesures.

Nous comprenons que la sensibilisation et la compréhension continues des membres sont essentielles à la conformité continue du GDPR et impliqueront nos membres dans nos plans de préparation.

Si vous avez des questions sur notre préparation pour le GDPR, veuillez contacter [email protected]