DOSSIER RGPD 2020

  • Quel est le rôle de la CNIL ?

    La Commission nationale de l’informatique et des libertés, (CNIL) est le régulateur français des données personnelles.

    La CNIL informe et conseille les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles.

    Elle reçoit et traite les réclamations des personnes physiques. Elle dispose des pouvoirs de contrôles sur place ou en ligne.

    Elle peut imposer à un acteur de régulariser son traitement (mise en demeure) ou prononcer des sanctions (amende, etc.).

  • En résumé :

    1 Ne collectez que les données vraiment nécessaires.

    Posez-vous les bonnes questions : Quel est mon objectif ?

    Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ?

    Est-ce pertinent ? Les personnes concernées sont-elles d’accord ?

    2 Soyez transparent.

    Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.

    3 Pensez aux droits des personnes.

    Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données.

    4 Gardez la maîtrise de vos données.

    Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, afin de leur assurer une protection à tout moment.

    5 Identifiez les risques.

    Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.

    6 Sécurisez vos données.

    Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident.

  • DPO (délégué à la protection des données)

    Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données.

    Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers.

    Dans les autres cas, la désignation d’un délégué (DPO) est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.

    Le délégué peut être désigné en interne parmi vos collaborateurs ou en externe. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.

    Si vos traitements de données sont susceptibles d’engendrer des risques spécifiques ou des problématiques nouvelles au regard de la protection des données, n’hésitez pas à vous informer auprès de la CNIL (modalités de contact sur la page « CONTACT » du site internet de la CNIL).

    Par ailleurs, vos sous-traitants ont une obligation d’alerte et de conseil en matière de protection des données. N’hésitez-pas à les solliciter.

  • Lorsque vous transférez des données en dehors de l’Union européenne

    Vérifiez si le pays hors Union européenne vers lequel vous transférez les données dispose d’une législation de protection des données et si elle est reconnue adéquate par la Commission européenne.

    Une carte du monde présentant les législations de protection des données est à votre disposition sur le site de la CNIL.

    Sinon, vous devrez encadrer juridiquement vos transferts pour assurer la protection des données à l’étranger.

    Si votre situation correspond à l’un ou à plusieurs de ces points de vigilance, une analyse approfondie du RGPD et de la loi Informatique et Libertés est nécessaire pour déterminer les mesures à mettre en œuvre.

  • PIA (analyse d’impact)

    Lorsque votre traitement a pour objet ou pour effet :

    • L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier).
    • Une prise de décision automatisée.
    • La surveillance systématique de personnes (exemple : télésurveillance).
    • Le traitement de données sensibles (exemple : santé, biométrie, etc.).
    • Le traitement de données concernant des personnes vulnérables (exemple : mineurs).
    • Le traitement à grande échelle de données personnelles.
    • Le croisement d’ensembles de données.
    • Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté).
    • L’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).

    Si vos traitements de données répondent à au moins 1 de ces 9 critères, vous devez, a priori, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.

    Dans le cas ou vos traitements répondent à au moins 2 des 9 critères, l’analyse d’impact doit être réalisée de façon quasi systématique.

    En complément de l’établissement du registre et de la description du traitement, cette analyse de l’impact sur la vie privée vous permettra d’identifier les risques associés à ces données personnelles. Il ne s’agit donc pas du même travail.

     

  • Etes-vous concerné par les traitements de données à risques ou traitez-vous des données sensibles ?

    Certaines données ou certains types de traitements nécessitent une vigilance particulière :

    Lire la suite

  • Sous-traitants

    Le RGPD reconnaît le rôle des sous-traitants dans le traitement de données personnelles, et leur impose des obligations particulières.

    Lire la suite

  • Sécurisation des données (Vous êtes tenu d’assurer la sécurité des données personnelles que vous détenez)

    Garantissez-vous contre les risques de pertes de données ou de piratage.

    Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

    Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations.

    En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

    Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.

    Sensibiliser les utilisateurs travaillant avec des données à caractère personnel :

    Les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement. Organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc.

    Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d'utilisateurs, dans des documents auxquels ces derniers peuvent se référer.

    Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur).

    Cette charte devrait au moins comporter les éléments suivants :

    • Le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.
    • Le champ d’application de la charte, qui inclut notamment :
    • Les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme.
    • Les moyens d’authentification utilisés par l’organisme.

    Les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure de :

    • Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement.
    • Ne jamais confier son identifiant/mot de passe à un tiers.
    • Ne pas installer, copier, modifier, détruire des logiciels sans autorisation.
    • Verrouiller son ordinateur dès que l’on quitte son poste de travail.
    • Ne pas accéder, tenter d'accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur.
    • Respecter les procédures préalablement définies par l'organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.

    Les modalités d’utilisation des moyens informatiques/télécommunications mis à disposition comme :

    • Le poste de travail.
    • Les équipements nomades (notamment dans le cadre du télétravail).
    • Les espaces de stockage individuel.
    • Les réseaux locaux.
    • Les conditions d’utilisation des dispositifs personnels.
    • L’Internet.
    • La messagerie électronique.
    • La téléphonie.

    Lire la suite

  • Bonne pratique : La réactivité !

    Bien traiter les demandes des consommateurs quant à leurs données personnelles, c’est :

    • Renforcer la confiance qui sécurise la relation-client.
    • Vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.

  • Permettre aux personnes d’exercer facilement leurs droits

    Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

    Vous devez leur donner les moyens d’exercer effectivement leurs droits.

    Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

    Mettez en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois au maximum).

  • Respecter les droits des personnes

    Informez les personnes À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

    Vérifiez que l’information comporte notamment les éléments suivants :

    • Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur).
    • Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »).
    • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.).
    • Combien de temps vous les conservez (exemple : 5 ans après la fin de la relation contractuelle).
    • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié).
    • Si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).
    • Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur votre site internet.

    À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

  • Tri des données collectées et stockées

    Pour chaque fiche de registre créée, vérifiez :

    • Que les données que vous traitez sont nécessaires à vos activités (par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’offrez aucun service ou rémunération attachée à cette caractéristique).
    • Que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter.
    • Que seules les personnes habilitées ont accès aux données dont elles ont besoin.
    • Que vous ne conservez pas vos données au-delà de ce qui est nécessaire.

    À cette occasion, améliorez vos pratiques !

    Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles.

    Redéfinissez qui doit pouvoir accéder à quelles données dans votre entreprise.

    Pensez à poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

  • Quelles sont les actions à mener pour une mise en conformité RGPD ?

    Quelles sont les actions à mener pour une mise en conformité RGPD ?

    Lire la suite

  • Améliorer la sécurité des données de votre entreprise

    L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose, ainsi les données personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques. 

  • Qui est concerné ?

    Le RGPD s’applique à toute organisation (entreprise, association, collectivité, publique et privée) qui traite des données personnelles pour son compte ou non. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
     
    Ainsi, si vous traitez ou collectez des données pour le compte de vos clients, vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées. Vous devez permettre aux personnes dont les données personnelles font l’objet d’un traitement, de maîtriser leurs données en leur conférant des droits d’accès, de rectification, d’effacement, d’opposition, etc. 
     
    Exemple : Votre expert-comptable collecte et traite certaines de vos données personnelles ainsi que les données personnelles de ses salariés, il est concerné à double titre.
     
    https://www.youtube.com/watch?v=62xV4JKn_HA (cliquez pour voir la vidéo)

  • Qu’est-ce qu’un traitement de données à caractère personnel (CNIL) ?

    Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...)
     
    Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

  • Qu’est-ce qu’une donnée personnelle (CNIL) ?

    Toute information, identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, adresse IP, ADN, numéro de sécurité sociale, donnée biométrique, ensemble d’informations permettant de discriminer une personne au sein d’une population tels que, donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, la voix, une photo, lieu de résidence, profession, sexe, âge…).

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

     
    Pour garantir une meilleure maîtrise des données personnelles et renforcer le droit des personnes, le Règlement Général sur la Protection des Données (RGPD) entre en application à partir du 25 mai 2018. Tout organisme (public et privé) traitant des données personnelles est tenu de se conformer au RGPD. 

 

En poursuivant votre navigation sur ce site, vous acceptez nos conditions générales d’utilisation et l’utilisation de Cookies pour vous proposer une navigation optimale.

Vous pouvez changer d’avis et modifier vos choix à tout moment.

Notre politique de protection de vos données personnelles est conforme au nouveau Règlement Général sur la Protection des Données (RGPD)

 

Site en mode préproduction