Pourquoi choisirOpenflow ?

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Une donnée a un caractère personnel dès lors qu’il s’agit d’une information permettant l’ identification ou la géolocalisation d’une personne.

Comment appliquer le Règlement Général de la Protection des Données en cinq étapes ?

La nouvelle règlementation européenne en matière de protection des données personnelles entrera en vigueur le 25 Mai 2018. Son objectif ? Renforcer les obligations des entreprises traitant des données personnelles et les pouvoirs de la CNIL.

Si le contenu du règlement peut apparaître comme particulièrement dense, les mesures qu’il induit pour les responsables de traitement et les sous-traitants peuvent être synthétisées en cinq étapes :

  • La cartographie et la tenue de registres de traitements
  • L’encadrement de la collecte de données
  • L’obligation d’information et de respect du consentement
  • La mise en place d’outils de conformité
  • La nomination d’un Data Protection Officer
  • La cartographie et la tenue de registres de traitements

Il est par ailleurs notable que des procédures de certification et de labellisation seront proposées. En effet, les institutions européennes et le comité européen de la protection des données (CEPD) pourront délivrer ces certifications afin de juger de la conformité au RGPD des traitements réalisés, certifications qui permettront aux entreprises de démontrer leur parfaite transparence, gage de qualité et de sécurité pour les internautes.

Le RGPD introduit une nouveauté : si avant sa mise en place, le responsable de traitement devait effectuer des déclarations auprès de la CNIL, le processus se voit désormais simplifié. En effet, pour les entreprises d’au moins 250 salariés, il ne sera plus question de déclarations, mais de tenue d’un registre de traitements de données qui devra être mis à disposition, à tout moment, de la CNL.

Ce registre devra comporter un certain nombre de mentions obligatoires, comme les catégories de personnes concernées par le traitement de données, les mesures de sécurité mises en place, l’ensemble des responsables de traitement et des sous-traitants impliqués dans le traitement des données, etc.

  • L’encadrement de la collecte de données

L’entreprise devra désormais veiller à ne collecter que les données adéquates, pertinentes et strictement nécessaires à la finalité du traitement. Ainsi, devra être évitée la collecte de données dites sensibles.

Par ailleurs un temps de conservation desdites données devra être déterminé au préalable afin qu’aucune donnée ne soit conservée indûment une fois sa finalité atteinte.

  • L’obligation d’information et le respect du consentement

De plus, le responsable du traitement doit toujours garantir aux internautes les droits d’accès, de rectification et d’opposition de leurs données qui existaient déjà avant l’application du RGPD.

En revanche, de nouveaux droits doivent être garantis aux personnes. Il s’agit notamment du droit à la limitation du traitement, du droit à l’oubli, du droit à la portabilité des données ou du droit à l’effacement des données.

La protection des mineurs de moins de 16 ans est également renforcée. A leur égard, les traitements doivent être décrits de manière facilement compréhensible et en des termes clairs. De plus, le consentement du titulaire de l’autorité parentale doit être donné.

A chaque collecte de données, la personne concernée doit être informée des coordonnées du DPO, du fondement juridique sur lequel le traitement est effectué, de ses droits sur le traitement (limitation, portabilité et recours) et des modalités exactes du traitement de ses données.

Ces informations doivent être visibles et accessibles sur le site internet où les données sont collectées, ou cas échéant, sur les documents qui permettent la collecte des données (contrats signés, etc.). Le RGPD signe la fin du « qui ne dit mot consent » et définit le consentement comme un acte nécessairement positif : Une case à cocher, ou une autorisation écrite par exemple.

  • La mise en place d’outils de conformité

Le responsable de traitement doit mettre en place un ensemble de techniques pour assurer la confidentialité des données personnelles qui lui sont confiées. Cette obligation est particulièrement mise en avant dans le cadre de traitement de données sensibles.

Ces techniques d’organisation doivent prendre plusieurs formes :

  • Une organisation dans la gouvernance : Le personnel du responsable de traitement doit être sensibilisé aux cyber-risques grâce à la mise en place d’une documentation interne.
  • La mise en place d’une grille de référence : En élaborant des documents comme des chartes ou des politiques de gestion d’incidents, le responsable de traitement participe à structurer la gestion des données au sein de l’entreprise.
  • L’élaboration d’études d’impact sur la protection des données : Pour le traitement de données dites sensibles (données de santé, relatives à la vie privée, religieuse ou politique d’une personne) il sera désormais obligatoire de mener une étude d’impact sur la vie privée.

En cas de faille dans le système de protection des données mis en place, le responsable de traitement ou le sous-traitant devra s’adresser à la CNIL sous 48 heures.

  • La mise en place d’un Délégué à la Protection des Données : Le DPO

Le RGPD remplace le CIL par un nouvel acteur : le DPO. Ce dernier est responsable de la conformité du traitement des données au sein de l’entreprise.

Son rôle consiste à informer et conseiller l’ensemble des personnes impliquées dans le traitement de données personnelles, s’assurer de la mise en place des outils de conformité, et coopérer avec les autorités de contrôle sur toutes les procédures relatives au traitement de ces données.

Le DPO est nécessairement un acteur indépendant de l’entreprise du fait de cette coopération. Il est donc important

  • Sanctions en cas de non-conformité ?

En cas de manquement aux obligations imposées par le RGPD, les entreprises peuvent se voir infliger une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial pour les entités les plus importantes. Plus concrètement, la CNIL pourra émettre des réponses en cas de violation de la règlementation comme des mises en demeure ou des avertissements.

Européen et International

RGPD – Pack Responsable de traitements

Ce Pack de documents juridiques contient les documents et informations nécessaires pour vous conformer aux nouvelles obligations du règlement européen entrant en vigueur le 25 mai 2018
9,90 HT

Rédigé par Gary Younes Avocat

Européen et International

RGPD – Pack sous-traitant

Composition : - Consultation juridique à destination des sous-traitants; - Deux types d'avenants au contrat de sous-traitance de données personnelles; - Modèle de registre des catégories d'activités de traitements.
9,90 HT

Rédigé par Gary Younes Avocat

Pourquoi choisirOpenflow ?