Règlement Général sur la protection des données (RGPD)

Un guide Stripe sur les changements relatifs à la protection des données à caractère personnel en Europe

Introduction

Aperçu des nouvelles réglementations entrant en application le 25 mai 2018 concernant la protection des données à caractère personnel, et quelques bonnes pratiques pour se mettre en conformité avec le RGPD.

Le RGPD est le plus important changement dans la réglementation de la protection des données à caractère personnel de ces dernières décennies. Les entreprises sont sur le pied de guerre pour mettre en place dans leurs systèmes et contrats les changements radicaux que ce règlement implique. De ce fait, celles s’appuyant sur des plateformes conformes à la réglementation et conscientes de l’importance de la protection des données ont une longueur d’avance. Ce guide ambitionne d’aider nos utilisateurs à comprendre l’ampleur du RGPD, de leur fournir une opportunité d’améliorer leurs activités de traitement des données, de se mettre et se maintenir en conformité avec le RGPD.

Avertissement : Ce guide du RGPD est fourni à titre exclusivement informatif . Il n’a pas valeur d’avis juridique. Si vous souhaitez recevoir des conseils spécifiques vis-à-vis de l’impact du RGPD sur votre activité, nous vous invitons à vous rapprocher de votre conseil juridique.

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est une nouvelle réglementation de l’Union Européenne sur la protection des données à caractère personnel. Il appelle à des mesures de protection plus spécifiques dans les systèmes des organisations, des accords de protection des données plus nuancés, une approche plus protectrice des consommateurs et des divulgations plus détaillées sur les pratiques de l’organisation en matière de protection des données à caractère personnel.

Le RGPD remplace le cadre régulatoire actuel de l’UE relatif à la protection des données, qui a été institué en 1995 (communément connu sous le nom de « directive sur la protection des données »). La Directive sur la Protection des Données imposait aux États membres de l’UE de l’intégrer dans leur droit interne, ce qui a conduit à une fragmentation du paysage juridique de la protection des données dans l’UE. Pour sa part, le RGPD est un règlement de l’UE ayant des effets directs dans tous les États membres, c’est-à-dire qu’il n’est pas nécessaire de le transposer dans le droit interne des États membres de l’UE pour qu’il produise des effets obligatoires. Ceci renforcera la cohérence et l’application harmonieuse de la réglementation dans l’UE.

Le RGPD peut s’appliquer aux organisations situées en-dehors de l’UE

Contrairement à la directive sur la protection des données, le RGPD a des implications pour toutes les entreprises opérant sur la scène mondiale, et non pas seulement celles domiciliées sur le territoire de l’UE. Une organisation peut entrer dans le champ d’application du RGPD si (i) elle est domiciliée sur le territoire de l’UE, ou (ii) l’organisation n’est pas domiciliée sur le territoire de l’UE mais traite des données à caractère personnel concernant des individus ressortissants d’États membres de l’UE et relatives à l’offre de biens et de services ou à l’analyse de leurs comportements.

Le traitement des données personnelles est un concept élargi dans le cadre du RGPD

Le RGPD réglemente la façon dont les organisations traitent les données à caractère personnel d’individus ressortissants d’États membres de l’UE. Les « données personnelles » et le « traitement » sont des termes fréquemment employés dans la législation, et bien comprendre leur signification dans le cadre du RGPD est essentiel à la compréhension du champ d’application de ce règlement :

  • Sont des données à caractère personnel toutes les informations concernant un individu identifié ou identifiable. Il s’agit d’un concept extensif dans la mesure où il inclut toutes les informations qui peuvent être utilisées en tant que telles ou qui, combinées à d’autres éléments d’informations, peuvent servir à identifier une personne. Les données à caractère personnel n’incluent pas seulement le nom ou l’adresse email d’une personne. Elles intègrent aussi d’autres informations comme les informations financières et même, dans certains cas, les adresses IP. En outre, certaines catégories de données à caractère personnel font l’objet d’un degré de protection plus élevé en raison de leur nature sensible. Ces catégories de données sont les informations sur l’origine raciale ou ethnique d’un individu, ses opinions politiques, ses croyances religieuses ou philosophiques, son appartenance à des organisations syndicales, ses données génétiques ou biométriques, les données se rapportant à son état de santé, les informations sur la vie sexuelle de la personne ou son orientation sexuelle, et les informations concernant son casier judiciaire.

  • Le traitement des données à caractère personnel est l’activité clé de laquelle découlent les obligations liées au RGPD. Le traitement désigne toute opération ou ensemble d’opérations accomplies sur des données à caractère personnel ou ensembles de données à caractère personnel, par des moyens automatisés ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. En termes pratiques, cela signifie que tout procédé permettant la conservation ou la consultation de données à caractère personnel est considéré comme du traitement.

Concepts clés: responsables du traitement et sous-traitants

Dans le règlement de l’UE, deux types d’entités peuvent traiter des données à caractère personnel – les responsables du traitement et les sous-traitants.

Le responsable du traitement (« responsable ») est l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Le sous-traitant (« sous-traitant ») est l’entité qui traite des données à caractère personnel pour le compte du responsable du traitement.

Il est important de déterminer, activité par activité, si l’entité traitant les données à caractère personnel est un responsable ou un sous-traitant. Cet exercice de localisation permet à une organisation de comprendre les droits et les obligations relative à chacune de ses opérations de traitement de données.

Stripe exécute certaines opérations de traitement de données pour lesquelles elle est un responsable, et d’autres pour lesquelles elle agit en qualité de sous-traitant. Une bonne illustration de ce double rôle est le traitement de transactions par cartes de paiement via Stripe. L’exécution de telles transactions nécessite le traitement de données à caractère personnel, comme le nom du porteur de la carte, le numéro de carte, la date d’expiration de la carte et le code CVC. Les données concernant le porteur de la carte sont transmises du marchand Stripe à Stripe, par l’intermédiaire de l’API Stripe (ou toute autre méthode d’intégration comme Stripe Elements). Stripe utilise ensuite les données pour compléter la transaction dans le système des réseaux de cartes de crédit, qui est une fonction que Stripe accomplit en qualité de sous-traitant. Cependant, Stripe utilise aussi les données pour se mettre en conformité avec ses obligations réglementaires (comme les procédures Know-Your-Customer (“KYC”) et la prévention du blanchiment d’argent (Anti-Money-Laundering (“AML”)), et dans ce rôle, Stripe est un responsable de traitement.

Fondement juridique du traitement de données à caractère personnel dans le RGPD

Il convient ensuite de déterminer si une activité de traitement de données particulière est conforme au RGPD. En application du RGPD, chaque opération de traitement de données accomplie par un responsable ou un sous-traitant doit reposer sur un fondement juridique. Le RGPD reconnaît six fondements juridiques pour le traitement des données à caractère personnel de ressortissants d’États membres de l’UE (dans le RGPD, il est fait référence aux individus ressortissants d’États membres de l’UE sous le vocable de « personne concernée »). Ces six fondements, énumérés aux alinéas a à f de l’article 6(1) du RGPD, sont :

  1. La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  2. Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  3. Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  4. Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  5. Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; ou
  6. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.

Il existe des similarités entre la liste des traitements autorisés en application du RGPD et celle de la directive sur la protection des données. En revanche, il existe aussi des divergences importantes.

Comparé au régime applicable sous l’empire de la directive sur le traitement des données, les modifications apportées par le RGPD qui suscitent le plus de discussions concernent le resserrement des exigences que doit revêtir le consentement (premier élément de la liste ci-dessus). Les conditions du consentement dans la directive incluent des éléments comme (i) le consentement doit être vérifiable, (ii) la demande d’autorisation doit être clairement distincte des autres questions, (iii) la personne concernée doit être informée de son droit de retirer son consentement au traitement. En outre, un consentement plus astreignant (« consentement explicite ») doit être recueilli en cas de traitement de données sensibles.

Un autre élément important à souligner est l’intérêt légitime (élément 6 de la liste ci-dessus). Lorsqu’elle fonde le traitement de données à caractère personnel sur un « intérêt légitime », l’organisation qui s’en prévaut doit être consciente qu’elle doit se livrer à une mise en balance des intérêts par rapport à la finalité poursuivie autour de ce critère. Afin de satisfaire le principe de responsabilité posé par le RGPD, une organisation doit documenter sa mise en conformité avec l’examen de mise en balance des intérêts qui précise la méthode qu’elle a suivie et les arguments sur lesquels elle s’est fondée pour conclure que l’examen de pesée des intérêts est satisfait.

Droits des individus en application du RGPD

En application de la directive sur la protection des données, les ressortissants de l’UE bénéficiaient de certains droits basiques par rapport à leurs données à caractère personnel. Les droits de ces ressortissants continuent de s’appliquer sous l’empire du RGDP, qui introduit des éléments de clarification. Le tableau ci-dessous compare les droits des ressortissants sous la directive sur la protection des données et sous celui du RGPD.

Droit de la personne concernée Directive sur la protection des données RGPD
Requête concernant l’accès à des données L‘individu a le droit de savoir si des données à caractère personnel le concernant sont traitées, quelles sont-elles et comment elles sont traitées. Le champ d’application de ce droit a été étendu par le RGPD. Par exemple, lorsqu’il effectue une demande de consultation, l’individu doit recevoir de plus amples informations, y compris des informations sur leurs droits en matière de protection des données à caractère personnel en application du RGPD qui n’existaient pas auparavant, comme le droit à la portabilité des données.
Droit d’opposition Un individu peut interdire un certain nombre d’opérations de traitement des données lorsqu’il dispose de raisons convaincantes. Les individus peuvent aussi s’opposer au traitement de leurs données à des fins de démarchage direct. Le RGPD a étendu le champ d’application de ce droit en comparaison de la directive sur la protection des données.
Droit de rectification ou d’effacement Les individus peuvent demander que les données incomplètes soient complétées ou que les données incorrectes soient corrigées afin de s’assurer que le traitement des données à caractère personnel est en conformité avec les principes applicables concernant la protection des données. La position du RGPD est matériellement la même, mais le RGPD a ajouté des protections procédurales supplémentaires.
Droit à la limitation du traitement Aucun droit à la limitation du traitement. Cependant, la directive sur la protection des données donne aux individus le droit de demander le blocage de leurs données à caractère personnel lorsque les opérations de traitement ne sont pas en conformité avec les principes de protection des données, par exemple lorsque les données sont incomplètes ou inexactes. Le RGPD offre aux individus le droit de demander la limitation du traitement de leurs données à caractère personnel dans certaines circonstances, y compris lorsque l’individu conteste l’exactitude des données.
Droit à l’effacement (Droit à l’oubli) Les individus ont le droit de demander l’effacement de leurs données personnelles si les opérations de traitement ne sont pas conformes aux principes de protection des données. Par conséquent, ce droit est très restrictif. Le RGPD a considérablement renforcé ce droit. Par exemple, le droit à l’oubli peut être exercé lorsque les données à caractère personnel ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été collectées, ou l’individu retire son consentement au traitement et aucun autre fondement juridique ne soutient la poursuite du traitement.
Droit à la portabilité des données. La directive sur la protection des données ne mentionne pas explicitement la « portabilité des données » en tant que droit de la personne concernée. Les États membres de l’UE peuvent avoir intégré des droits additionnels similaires au droit à la portabilité dans leur droit interne Les individus peuvent demander que les données à caractère personnel détenues par un responsable de traitement leur soient fournies ou soient transmises à un autre responsable de traitement.

Transferts internationaux de données

Le sujet des flux internationaux de données a fait l’objet de vives controverses au cours des récentes années, et il y a eu des débats et des réformes juridiques considérables dans ce domaine. Il est aussi quasi-certain que les lois réglementant les flux internationaux de données continueront d’évoluer dans les prochaines années. Aujourd’hui, en application du droit de l’UE concernant la protection des données, un certain nombre de conditions doivent être remplies avant que les données à caractère personnel d’un ressortissant d’un État membre de l’UE puissent être transférées en-dehors de l’UE, à moins que l’organisation qui reçoit les données à caractère personnel ne soit située dans une juridiction figurant sur la liste blanche (cliquez ici pour consulter la liste des juridictions figurant sur la liste blanche).

En application du RGPD, les transferts internationaux de données sont un sujet épineux à gérer : le droit ne cesse d’évoluer d’une part, et il n’existe qu’une poignée de mécanismes de transferts de données applicables d’autre part. Malgré cette difficulté, les organisations doivent se tenir régulièrement informées des développements sur ce sujet, dans la mesure où la conformité des flux de données à caractère personnel constitue l’épine dorsale de toute entreprise technologique.

Un mécanisme particulièrement important de flux de données à caractère personnel de l’UE vers les États Unis est le cadre du Bouclier de Protection des Données. Le Bouclier de Protection des Données entre l’UE et les États-Unis (“EU-US Privacy Shield”) et celui entre la Suisse et les États-Unis (“Swiss-US Privacy Shield”) procèdent d’une méthode garantissant qu’une organisation offre un degré suffisant de protection des données, en requérant qu’une organisation soit enregistrée et certifiée en conformité aux exigences du cadre du bouclier de protection des données. La certification de Stripe au bouclier de protection des données peut être consultée ici, et notre politique de bouclier des données peut être consultée ici. Pour davantage d’informations, veuillez visiter la page d’aide de Stripe concernant les transferts de données hors UE.

Plus généralement, Stripe a mis en place des mesures visant à mettre en conformité aux réglementations applicables toutes ses entités effectuant des opérations de transfert de données à caractère personnel d’individus ressortissants des États membres de l’UE. Ces mesures sont fondées sur les clauses contractuelle types de l’UE.

Comme indiqué ci-dessus, les flux internationaux de données continueront à faire l’objet de réformes juridiques à l’avenir. Pour cette raison, nous suivrons avec la plus grande attention les développements traitant de la conformité des mesures de transfert de données, et nous prendrons toutes les mesures nécessaires afin de garantir des transferts de données de ressortissants d’États membres de l’UE en conformité aux réglementations. Nous disposons de différents leviers pour mener à bien notre programme de transfert de données, et à mesure que de nouvelles options seront à disposition de Stripe dans le cadre du RGPD, nous nous efforcerons d’en tirer parti.

Non-conformité

La conséquence la plus souvent évoquée de la non-conformité au RGPD est le plafond de l’amende qui peut être imposée à une organisation ne se conformant pas à la réglementation. Le montant de cette amende est de 4% du chiffre d’affaire mondial de l’organisation ou de 20 millions d’euros, le plus élevé de ces deux montants étant retenu. D’autres types de violations exposent les contrevenants à une amende s’élevant à 2% du chiffre d’affaire mondial de l’organisation ou 10 millions d’euros, le plus élevé de ces deux montants étant retenu.

Un autre sujet moins souvent évoqué concerne les pouvoirs des autorités de contrôles des données en application de l’article 58 du RGPD. Ces pouvoirs incluent la capacité des autorités de contrôle d’imposer des actions correctives, comme la limitation temporaire ou définitive concernant les activités de traitement des données, incluant une interdiction complète des traitement de données, ou une suspension des flux de données vers un destinataire dans un pays tiers.

Stripe et le RGPD

A Stripe, la vie privée, la protection des données, et la sécurité des données sont au cœur de tout ce que nous faisons. Nous oeuvrons continuellement à mettre la barre de la sécurité et de la protection des données toujours plus haut, et voyons le RGPD comme une occasion pour la totalité de l’industrie de s’unir et s’améliorer.

Stripe a débuté ses efforts de mise en conformité au RGPD dès 2016, et nous travaillons actuellement à la mise en conformité de nos services avec cette réglementation, avant la date d’entrée en vigueur du 25 mai 2018.

La conformité au RGPD comprend de nombreux éléments. Entre autres, nous avons mis à jour notre documentation et les documents contractuels pour nous aligner sur les dispositions du RGPD. Nous sommes aussi en train de revoir nos politiques internes et nos procédures afin de nous assurer qu’elles sont en conformité aux normes du RGPD.

La plupart des éléments de mise en conformité au RGPD se font en coulisse de l’organisation, dans la mesure où ils concernent la façon dont ladite organisation traite des données à caractère personnel. Les plateformes comme Stripe prennent un certain nombre de mesures pour leurs utilisateurs (et pour elles-mêmes) en anticipation du RGPD :

  • Conduire une analyse des différences entre les conditions imposées par la directive sur la protection des données et celles du RGPD, dans la mesure de ce qui est applicable aux opérations commerciales de l’organisation.
  • Le cas échéant, revoir et actualiser les outils, procédures et politiques internes.
  • Revoir les pratiques liées à la correspondance et l’inventaire des données , et les actualiser le cas échéant, afin de se conformer aux obligations du RGPD.
  • Mener une analyse spécifique des lacunes des outils dédiés à la protection de la vie privée et des données, afin de se conformer aux exigences des analyses d’impact relatives à la protection des données.
  • Actualiser l’approche des transferts internationaux de données.
  • Actualiser les contrats afin de refléter les obligations imposées par l’art. 28 du RGPD dès lors qu’elles concernent les cocontractants de l’entreprise.
  • Revoir et, le cas échéant, réviser les rapports avec les fournisseurs afin de se mettre en conformité avec les exigences du RGPD, dans le souci de garantir que ces tiers reçoivent et traitent les données personnelles dans le respect de la légalité.
  • Actualiser le programme de conformité de l’entreprise en matière de protection de la vie privée avec des mesures de formation des employés, afin de refléter les changements devant être intégrés pour la mise en conformité au RGPD.

Le principe de responsabilité

Les utilisateurs de Stripe doivent consulter leur conseiller juridique afin de comprendre l’étendue de leurs obligations en matière de conformité en application du RGPD. En règle générale, si vous êtes une organisation établie dans l’UE, ou si votre organisation traite des données personnelles d’individus ressortissants d’États membres de l’UE, le RGPD s’applique à vous.

Un principe cardinal du RGPD qu’il convient de conserver à l’esprit est le Principe de Responsabilité. Le Principe de Responsabilité prévoit que le responsable du traitement doit être capable de démontrer que ses activités de traitement sont en conformité avec les principes de protection des données prévues par le RGPD. La façon la plus simple de démontrer la conformité est de documenter votre approche de conformité concernant le RGPD.

A Stripe, la conformité au RGPD est le fruit de la collaboration de nombreuses personnes, notamment des équipes User Operations , Sales, Engineering, Security et Legal.. Notre expérience montre que l’association de plusieurs équipes et la rédaction d’une documentation compréhensible sont incroyablement utiles dans l’optique d’une mise en conformité globale au RGPD.

Checklist RGPD pour votre entreprise

À quelques semaines de la date butoir du 25 mai 2018, les petites et moyennes entreprises peuvent se trouver pressées dans leur préparation à l’entrée en application du RGPD. Dans cette optique, nous avons préparé une checklist d’éléments à prendre en compte en vue de la mise en conformité au RGPD pour nos utilisateurs.

Alignez vos équipes: Rapprochez-vous de vos techniciens, de votre service clientèle et de votre département juridique afin de vous concerter sur ce qu’est le RGPD et sur la façon dont il impacte votre organisation.

Ayez une image claire de ce qui se passe avec les données à caractère personnel au sein de votre organisation : Un exercice de traçabilité des données pourra vous aider à mettre en lumière la façon dont les données à caractère personnel sont conservées et traitées par vos systèmes. Les questions suivantes peuvent vous guider :

  • Quelles catégories de données à caractère personnel traitez-vous ? (ex.: informations financières, informations concernant l’état de santé, informations utilisées à des fins commerciales, etc.)
  • A quelles catégories d’individus les données à caractère personnel que vous traitez correspondent-elles ? (ex. : porteurs de cartes, enfants, patients, etc.)
  • Quelle est la raison pour laquelle vous traitez ces informations ?
  • Comment et pourquoi collectez-vous ces informations ?
  • Comment sécurisez-vous ces données ?
  • Est-ce que des tiers reçoivent ces informations ? Si oui, faites-vous état de ces tiers dans votre politique concernant la protection de la vie privée ou dans d’autres formes de communications ? Savez-vous qui sont ces tiers ?
  • Combien de temps conservez-vous les informations concernant des individus ?

Cartographie des fondements juridiques : Consultez les 6 fondements juridiques mentionnés ci-dessus. Pour chaque opération de traitement identifiée lors de votre exercice de traçabilité de données, reliez-la à un fondement juridique. Ce lien vous donnera un socle juridique sur lequel vous appuyer.

Si un individu désire exercer ses droits, sachez comment réagir :

  • Sachez tirer parti de votre exercice de traçabilité des données afin de répondre à une demande d’accès à ses données par une personne concernée.
  • A partir de la cartographie des données dont vous disposez, demandez-vous où les données à caractère personnel sont localisées dans votre système (et comment les renvois sont faits avec d’autres systèmes) afin de pouvoir donner suite aux requêtes de retrait, de modification et d’effacement.
  • Informez-vous sur les formats de données que votre système utilise, et efforcez-vous de savoir comment donner suite aux requêtes de portabilité de ces données.

Violation de données et réponses en cas d’incidents : Lors de vos discussions avec vos collègues des départements techniques/sécurité, assurez-vous que vous connaissez bien votre plan de réponse en cas d’incident. Effectuez quelques exercices pratiques, afin que toutes les personnes impliquées dans le processus de réponse à l’incident sachent quoi faire lorsqu’un incident se produit. Idéalement, votre équipe chargée de la réponse doit être une machine bien huilée, prête à appliquer les plans de réponse lorsqu’une telle situation se produit.

D’autres éléments pourraient être ajoutés à cette checklist, et il vous faudra travailler avec vos experts internes et conseillers externes pour préparer une liste adaptée à vos besoins. Par exemple, il vous faudra peut-être effectuer une analyse d’impact relative à la protection des données, nommer un responsable de la protection des données, gérer et revoir les pratiques marketing de l’entreprise, réviser votre politique de gestion des fournisseurs et vos processus de contractualisation, entre autres.

En préparant le terrain via l’audit de vos activités de traitement de données, vous vous donnez une longueur d’avance pour répondre aux questions de conformité au RGPD qui vous seront posées ultérieurement.

Vous trouverez ci-dessous quelques ressources additionnelles que nous avons consultées et trouvons utiles, et nous espérons qu’elles le seront également pour vous.

# Ressources additionnelles

Le RGPD est mentionné à différents endroits, et il est difficile de conserver des traces des bonnes sources disponibles en ligne. Voici quelques sources d’information que nous consultons régulièrement pour nous tenir à jour des développements concernant le RGPD :

  • Tout commence par les textes de loi : Le texte complet du RGDP est consultable ici et la directive sur la protection des données est disponible ici.

  • L’autorité de contrôle : Il existe une Autorité de Protection des Données (APD) dans chaque Etat membre de l’UE, et la plupart d’entre elles ont publié des directives utiles concernant la mise en œuvre du RGPD. Vous trouverez une liste des APD ici.

  • Le G29 (ou groupe de travail article 29 sur la protection des données), qui deviendra prochainement le Comité Européen de la Protection des Données (CEPD): Le G29 est un organe consultatif composé d’un représentant de l’autorité de contrôle de chaque État membre de l’UE, d’un représentant de l’autorité mise en place par l’UE en matière de protection des données et d’un représentant de la Commission Européenne. Le 25 mai 2018, le G29 deviendra le CEPD. Le CEPD inclura le président de l’autorité de contrôle de chaque État membre et le contrôleur européen de la protection des données.

  • Le G29 a émis des centaines de directives et opinions, et a ouvert un certain nombre de sujets pour consultation. Les directives et les opinions les plus récentes portent toutes sur la meilleure façon de mettre en place des éléments du RGPD dans la structure de conformité de l’organisation. L’actualité du G29 est disponible ici.

  • Le site internet du G29 contenait un grand nombre de ressources additionnelles qui malheureusement ne sont plus aussi facilement consultables sur le site ré agencé. Le site archivé avec les contenus additionnels est consultable ici.

  • Certaines autorités de contrôle, cabinets d’avocats, organisations de protection de la vie privée comme l’IAPP, et bien d’autres organisations, ONG et sociétés organisent des discussions relatives au RGPD. Il est fort probable que d’autres organisations se posent des questions très proches des vôtres concernant la mise en œuvre du RGPD. Ce sont d’excellentes occasions de vous impliquer dans la communauté du RGPD et de travailler sur ces questions ensemble.

Retour aux guides