Le rôle du gouvernant d’une entreprise dans la conformité au RGPD
Le gouvernant d’une entreprise est généralement le dirigeant ou le responsable de la gestion de l’entreprise, qui a pour mission de prendre des décisions stratégiques et opérationnelles pour atteindre les objectifs de l’entreprise. Selon la structure de l’entreprise, le gouvernant peut être :
- Le Président-directeur général (PDG),
- Le Directeur général (DG),
- Le Président du conseil d’administration (PCA),
- Le Conseil d’administration (CA) ou le Conseil de surveillance (CS) dans les entreprises à structure de gouvernance dualiste,
- Le gérant ou l’associé-gérant dans les entreprises individuelles ou les sociétés à responsabilité limitée (SARL),
- Le président ou le secrétaire général dans les associations à but non lucratif.
Le RGPD ne définit pas explicitement le rôle du « gouvernant » d’une entreprise.
Cependant, le RGPD impose certaines obligations de conformité aux responsables du traitement des données, qui peuvent être considérés comme étant responsables de la gouvernance de l’entreprise en matière de protection des données personnelles.
Le responsable du traitement des données est la personne physique ou morale, l’autorité publique, un partenaire ou un sous-traitant ou tout autre organisme qui traite les données personnelles au nom du responsable du traitement.
Le responsable du traitement est donc en charge de la gouvernance des données personnelles de l’entreprise et est responsable de la mise en place de mesures appropriées pour garantir la conformité au RGPD.
Dans le cadre du RGPD, le responsable du traitement est chargé de prendre des mesures techniques et organisationnelles pour garantir la sécurité et la confidentialité des données personnelles, de garantir la transparence dans la collecte et l’utilisation des données personnelles, d’informer les personnes concernées de leurs droits et de prendre des mesures pour garantir l’exercice de ces droits.
En résumé, le gouvernant d’une entreprise dans le cadre du RGPD est de facto le responsable du traitement des données, lequel est responsable de la gouvernance et de la conformité de l’entreprise en matière de protection des données personnelles.
Les obligations du gouvernant dans le cadre de la conformité au RGPD sont nombreuses, à savoir :
- Responsabilité
La gouvernance doit désigner un délégué à la protection des données (DPO) ou un correspondant à la protection des données (CPD) qui sera chargé de superviser la conformité au RGPD.
- Transparence
La gouvernance doit informer les personnes concernées de la collecte, du traitement et de l’utilisation de leurs données personnelles.
- Consentement
La gouvernance doit obtenir le consentement explicite des personnes concernées avant de collecter, de traiter et d’utiliser leurs données personnelles.
- Droits des personnes concernées
La gouvernance doit garantir les droits des personnes concernées tels que le droit d’accès, le droit de rectification, le droit d’effacement, le droit à la portabilité des données et le droit d’opposition.
- Protection des données
La gouvernance doit prendre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre toute perte, destruction, altération, divulgation non autorisée ou accès non autorisé.
- Notification des violations de données
La gouvernance doit notifier les violations de données personnelles à l’autorité de contrôle compétente dans les 72 heures suivant la découverte de la violation.
- Évaluation de l’impact sur la protection des données
La gouvernance doit effectuer une évaluation de l’impact sur la protection des données (EIPD) pour évaluer les risques pour les droits et libertés des personnes concernées.
En résumé, la gouvernance doit prendre des mesures pour garantir la conformité au RGPD et protéger les données personnelles des personnes concernées.