Augère Conseils

En savoir plus sur le RGPD

1. Le texte

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018.

2. Périmètre

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

Par exemple, une société établie en dehors de l’Union européenne, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

3. Les sanctions

Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

4. Prouver sa conformité

L’INPI peut vous demander de prouver votre conformité, pour cela les actions à mener sont les suivantes :

Il est a noté que la CNIL a exonéré les CSE d’analyse d’impact relative à la protection des données.

5. Définition d’une donnée personnelle

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée :

Il est a noté que les données des salariés de l’entités sont également concernées par la réglementation RGPD.
Les traitements liés à la paie sont donc concernées par la conformité RGPD.

6. Définition d’un traitement

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.

7. Se mettre en conformité

a. Recenser vos fichiers

Tenir un registre

Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).

Le registre est placé sous la responsabilité du dirigeant de l’entreprise.

Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

Vous n’avez pas en revanche à mentionner au registre les traitements purement occasionnels.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

Le modèle

Il convient de créer une fiche pour chaque activité recensée, en précisant :

b. Faire le tri

Pour chaque fiche de registre créée, vérifiez :

c. Respecter le droit des personnes

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

Vérifiez que l’information comporte notamment les éléments suivants :

Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut.

Le consentement est « préalable » à la collecte des données.

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité/page vie privée sur votre site internet.

Les droits des personnes :

Toute personne peut :

Le droit d’accès peut s’exercer : 

Le responsable du fichier dispose d’un délai de réponse maximal d’un mois à compter de la date de réception de la demande.

d. Sécuriser le droits des personnes

Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations.

En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :

Durée d’archivage :

Lorsque ces documents sont reçus sur support informatique, ils doivent être conservés sous cette forme pendant 6 ans à compter de la date de la dernière opération.

e. Gérer vos sous-traitants

Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’un autre organisme (le « responsable de traitement »), dans le cadre d’un service ou d’une prestation.

Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de confier la gestion de vos données personnelles à des prestataires qui seront vos sous-traitants (exemple : SSII, intégrateurs de logiciels, hébergeurs de données).

Demande de preuve de la conformité = > commission des marchés.

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.

Ils doivent prendre en compte l’objectif de protection des données personnelles et de la vie privée dès la conception de leur service (principe du « privacy by design ») ou de leur produit, et ils doivent mettre en place des mesures permettant de garantir une protection optimale des données.

Les sous-traitants sont également soumis au règlement RGPD.

Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat.

Ce contrat doit prévoir une clause spécifique sur la protection des données personnelles.

8. Plan d'action

La mise en conformité va passer par la mise en œuvre du plan d’action suivant en deux phases :

La fin de cette première étape aboutie sur des arbitrages liés aux risques détectés lors de la phase d’audit.

Retour en haut