RGPD

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Une donnée a un caractère personnel dès lors qu’il s’agit d’une information permettant l’ identification ou la géolocalisation d’une personne.

Comment appliquer le Règlement Général de la Protection des Données en cinq étapes ?

La nouvelle règlementation européenne en matière de protection des données personnelles entrera en vigueur le 25 Mai 2018. Son objectif ? Renforcer les obligations des entreprises traitant des données personnelles et les pouvoirs de la CNIL.

Si le contenu du règlement peut apparaître comme particulièrement dense, les mesures qu’il induit pour les responsables de traitement et les sous-traitants peuvent être synthétisées en cinq étapes :

  • La cartographie et la tenue de registres de traitements
  • L’encadrement de la collecte de données
  • L’obligation d’information et de respect du consentement
  • La mise en place d’outils de conformité
  • La nomination d’un Data Protection Officer
  • La cartographie et la tenue de registres de traitements

Il est par ailleurs notable que des procédures de certification et de labellisation seront proposées. En effet, les institutions européennes et le comité européen de la protection des données (CEPD) pourront délivrer ces certifications afin de juger de la conformité au RGPD des traitements réalisés, certifications qui permettront aux entreprises de démontrer leur parfaite transparence, gage de qualité et de sécurité pour les internautes.

Le RGPD introduit une nouveauté : si avant sa mise en place, le responsable de traitement devait effectuer des déclarations auprès de la CNIL, le processus se voit désormais simplifié. En effet, pour les entreprises d’au moins 250 salariés, il ne sera plus question de déclarations, mais de tenue d’un registre de traitements de données qui devra être mis à disposition, à tout moment, de la CNL.

Ce registre devra comporter un certain nombre de mentions obligatoires, comme les catégories de personnes concernées par le traitement de données, les mesures de sécurité mises en place, l’ensemble des responsables de traitement et des sous-traitants impliqués dans le traitement des données, etc.

  • L’encadrement de la collecte de données

L’entreprise devra désormais veiller à ne collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement. Ainsi, devra être évitée la collecte de données dites sensibles.

Par ailleurs un temps de conservation desdites données devra être déterminé au préalable afin qu’aucune donnée ne soit conservée indûment une fois sa finalité atteinte.

  • L’obligation d’information et le respect du consentement

De plus, le responsable du traitement doit toujours garantir aux internautes les droits d’accès, de rectification et d’opposition de leurs données qui existaient déjà avant l’application du RGPD.

En revanche, de nouveaux droits doivent être garantis aux personnes. Il s’agit notamment du droit à la limitation du traitement, du droit à l’oubli, du droit à la portabilité des données ou du droit à l’effacement des données.

La protection des mineurs de moins de 16 ans est également renforcée. A leur égard, les traitements doivent être décrits de manière facilement compréhensible et en des termes clairs. De plus, le consentement du titulaire de l’autorité parentale doit être donné.

A chaque collecte de données, la personne concernée doit être informée des coordonnées du DPO, du fondement juridique sur lequel le traitement est effectué, de ses droits sur le traitement (limitation, portabilité et recours) et des modalités exactes du traitement de ses données.

Ces informations doivent être visibles et accessibles sur le site internet où les données sont collectées, ou cas échéant, sur les documents qui permettent la collecte des données (contrats signés, etc.). Le RGPD signe la fin du « qui ne dit mot consent » et définit le consentement comme un acte nécessairement positif : Une case à cocher, ou une autorisation écrite par exemple.

  • La mise en place d’outils de conformité

Le responsable de traitement doit mettre en place un ensemble de techniques pour assurer la confidentialité des données personnelles qui lui sont confiées. Cette obligation est particulièrement mise en avant dans le cadre de traitement de données sensibles.

Ces techniques d’organisation doivent prendre plusieurs formes :

  • Une organisation dans la gouvernance : Le personnel du responsable de traitement doit être sensibilisé aux cyber-risques grâce à la mise en place d’une documentation interne.
  • La mise en place d’une grille de référence : En élaborant des documents comme des chartes ou des politiques de gestion d’incidents, le responsable de traitement participe à structurer la gestion des données au sein de l’entreprise.
  • L’élaboration d’études d’impact sur la protection des données : Pour le traitement de données dites sensibles (données de santé, relatives à la vie privée, religieuse ou politique d’une personne) il sera désormais obligatoire de mener une étude d’impact sur la vie privée.

En cas de faille dans le système de protection des données mis en place, le responsable de traitement ou le sous-traitant devra s’adresser à la CNIL sous 48 heures.

  • La mise en place d’un Délégué à la Protection des Données : Le DPO

Le RGPD remplace le CIL par un nouvel acteur : le DPO. Ce dernier est responsable de la conformité du traitement des données au sein de l’entreprise.

Son rôle consiste à informer et conseiller l’ensemble des personnes impliquées dans le traitement de données personnelles, s’assurer de la mise en place des outils de conformité, et coopérer avec les autorités de contrôle sur toutes les procédures relatives au traitement de ces données.

Le DPO est nécessairement un acteur indépendant de l’entreprise du fait de cette coopération. Il est donc important

  • Sanctions en cas de non-conformité ?

En cas de manquement aux obligations imposées par le RGPD, les entreprises peuvent se voir infliger une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial pour les entités les plus importantes. Plus concrètement, la CNIL pourra émettre des réponses en cas de violation de la règlementation comme des mises en demeure ou des avertissements.

Rédiger un commentaire1 commentaire(s)
  1. bonjour, je suis gérant d’ une microentreprise sans salarié avec une activité saisonniére de petite restauration et accessoirement loueur d’une salle
    dois je aussi remplir cette déclaration et si oui comment ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

numerique

Ce Pack de documents juridiques contient les documents et informations nécessaires pour vous conformer aux nouvelles obligations du règlement européen sur la Protection des Données entrant en vigueur le 25 mai 2018.

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Gary Younes Avocat

Avocats conseils

numerique

Le RGPD va modifier en profondeur la responsabilité des sous-traitants, il semble donc utile de faire une présentation des dispositions à mettre en place afin que les sous-traitants soient en mesure d’apporter les éléments de réponse nécessaires à leurs clients.

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Gary Younes Avocat

Avocats conseils

CES PRODUITS PEUVENT VOUS INTERESSER

startup

Vous êtes en pleine création de votre société, et cherchez à organiser la répartition du capital entre les différents associés et leurs prérogatives au sein de l’entreprise ? Sachez qu’au-delà des statuts obligatoires à la constitution de votre société, le pacte d'associés est un élément essentiel à la bonne répartition des pouvoirs au sein de celle-ci.

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Oria Media

Avocats conseils

startup

Ce document est indispensable pour pouvoir constituer une société par actions, même simplifiée.

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Oria Media

Avocats conseils

startup

Durant votre activité professionnelle, vous aurez forcément besoin d'éditer des factures. Ce document est fait pour vous !

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Oria Media

Avocats conseils

startup

Si vous êtes susceptibles de fournir des produits ou d'exécuter des prestations de services durant votre activité professionnelle, vous aurez besoin de ce document juridique rédigé par un avocat.

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Oria Media

Avocats conseils

startup

Vous êtes dirigeant d'une société mais vous n'êtes pas propriétaire du lieu où vous souhaitez établir votre activité professionnelle ? Ce document rédigé par un avocat est fait pour vous !

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Oria Media

Avocats conseils

startup

Vous vous lancez dans l’aventure entrepreneuriale avec d’autres associés ? En optant pour une Société par Actions Simplifiée, vous choisissez la forme sociale la plus souple pour votre entreprise.

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Oria Media

Avocats conseils

startup

Vous êtes amenés à traiter les données personnelles de vos clients? Ce document est fait pour vous !

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Yann Le Targat

Avocats conseils

affaires-propriete-intellectuelle

Vous êtes victime d'un acte de contrefaçon ? Avant d'engager toute action en justice, il convient d'envoyer une mise en demeure au contrefacteur. Ce document est fait pour vous !

9,90 HT Achat à l'unité

ou

99 HT / an

Abonnement illimité

Rédigé par

Yann Le Targat

Avocats conseils