Page 17 - C2I big data
P. 17
La loi impose une obligation de notifier l’attaque dans un délai de 72h à partir du moment où ils s’en rendent
compte. De plus, ils devront notifier la violation aux personnes physiques concernées dans les meilleurs délais. Le
sous-traitant a aussi une obligation de notification au responsable de traitement de toute violation de données à
caractère personnel dans les meilleurs délais après en avoir pris connaissance.
h. Obligation de désigner un délégué à la protection des données (Data protection Officer)
16
Le DPO succèdera à l’actuel CIL .
15
Le DPO est obligatoire dans 3 cas (ART 37 R) :
➢ Traitement effectué par une autorité ou un organisme public
➢ Traitement qui, du fait de leur nature, de leur portée et/ou leurs finalités, exigent un suivi particulier et
systématique des personnes concernées
➢ Traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données
relatives à des condamnations ou à des infractions pénales
Le critère du nombre de 250 salariés a été supprimé.
Si le DPO n’est pas obligatoire pour certaines entreprises, il est fortement recommandé. Le DPO peut être interne ou
externe à l’entreprise.
Les missions du DPO sont les suivantes :
➢ Informer et conseiller
➢ Contrôler le respect du règlement
➢ Coopérer avec les autorités de contrôle
B. Transactions entre états des données à caractère personnel
1. Etats tiers
Par principe, les transferts de données à caractère personnel hors du territoire de l’Union européenne sont interdits
sauf si le pays ou le destinataire assure un niveau de protection suffisant. Des conditions de forme doivent être
effectuées.
Afin d’assurer un niveau de protection suffisant peuvent être mises en place :
15 Délégué à la protection des données
16 Correspondant Informatique et Libertés
17
