Comment se mettre en conformité avec la gestion des données ?

Le décret BACS (Building Automation Control System) est une réglementation complémentaire au décret tertiaire. Elle impose aux entreprises et collectivités d’installer des systèmes d’automatisation et de contrôle au sein de leurs bâtiments afin d’améliorer leur efficacité énergétique et leur confort. Au-delà de la mise en conformité « technique », l’installation de BACS implique souvent la collecte et le traitement de données personnelles, ce qui soulève des questions de conformité au RGPD (Règlement Général sur la Protection des Données). En quatre étapes, nous examinerons dans cet article les étapes clés que les organisations doivent suivre pour répondre au décret BACS, tout en respectant le RGPD.

Étape 1 : Analyser le traitement des données personnelles

En premier lieu, nous vous conseillons de réaliser une analyse approfondie du traitement des données personnelles liées au système BACS. Il est primordial d’identifier le type de données collectées, les finalités du traitement, la durée de conservation et ainsi de déterminer si un DPO (Délégué à la Protection des Données) doit être désigné. Cette analyse vous permettra de définir le plan d’action à mettre en place au sein de votre organisation pour se conformer aux obligations du RGPD (Règlement issu de l’Union Européenne).

Étape 2 : Se mettre en conformité avec le RGPD

Une fois cette analyse effectuée, il faut mettre en œuvre les actions permettant de se mettre en conformité avec le RGPD (obligation légale). Vous devez définir les politiques de confidentialité, établir un process pour la protection des données, désigner un responsable de la protection des données, et mettre en place des mesures (techniques, organisationnelles) pour assurer la sécurité des données. Enfin, il est nécessaire de tenir un registre des traitements des données au sein de votre organisation.

Étape 3 : Consentement et droits d’accès aux données

L’un des éléments essentiels du RGPD est le consentement des personnes concernant le traitement de leurs données personnelles. Pour cela, il est essentiel d’établir une politique de consentement transparente en permettant aux personnes de donner leur consentement de manière explicite (par exemple sur un site internet, afficher les cookies de façon claire). Les personnes concernées doivent être informées des droits d’accès dont elles disposent pour rectifier ou supprimer leurs données personnelles. C’est donc une obligation pour les entreprises et les collectivités de mettre en place des outils permettant aux individus d’exercer ces droits.

Étape 4 : Durée de conservation des données et respect des principes

En dernier lieu, il faut définir la durée de conservation des données collectées. Cela dépend de la finalité de l’utilisation celles-ci et donc le temps de conservation peut varier en fonction des données collectées et de l’activité exercée par l’entreprise ou la collectivité. Il est nécessaire de bien définir cette durée car conformément au RGPD, les données ne doivent être conservées que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. Il est donc important de bien définir celle-ci et de supprimer les données une fois la durée écoulée.

Pour se mettre en conformité avec le décret BACS, les entreprises et les collectivités doivent prendre des mesures annexes qui découlent d’autres réglementations, telle que le RGPD et qui s’avère aujourd’hui obligatoire à intégrer dans les process.