Formality.fr

Mise en conformité globale avec le RGPD

 Vous souhaitez protéger votre propriété intellectuelle ou encore vous prémunir en cas de violation de la réglementation ?


Votre entreprise est passible de sanctions administratives importantes en cas de non-respect des dispositions du RGPD, ainsi que de sanctions pénales.

Vous souhaitez avancer sur votre processus de mise en conformité au Règlement Général sur la Protection des Données (RGPD) ?

C’est pourquoi MyFormality vous accompagne dans cette opération et vous assiste tout ab long du processus.

N'hésitez pas à lire notre descriptif

↓↓↓

Notre offre

1H de visio avec accompagnement par un avocat

209,00 HT
  • Prenez rendez-vous avec notre Avocat en Droit des données personnelles
  • Un appel en visioconférence pour cerner les besoins

Nos garanties

Assistance par des professionnels

Qualité aux meilleurs prix

MISE EN CONFORMITE RGPD

 

Vous souhaitez avancer sur votre processus de mise en conformité au Règlement Général sur la Protection des Données (RGPD) ?

Le RGPD est un règlement de l’Union européenne, applicable depuis le 25 mai 2018. Il a vocation à encadrer la collecte et le traitement des données personnelles de vos clients, prospects, salariés, candidats, fournisseurs, et plus généralement de toute personne physique dont votre entreprise collecte ou traite de manière directe ou indirecte des données personnelles.

Si, à l’occasion de votre activité, vous réalisez des traitements de données personnelles, vous avez l’obligation de vous mettre en conformité avec les dispositions du RGPD. 

Votre entreprise est passible de sanctions administratives importantes en cas de non-respect des dispositions du RGPD, ainsi que de sanctions pénales.

Selon l’article 83 du RGPD, le non-respect des obligations incombant au responsable de traitement en vertu du RGPD peut entraîner des amendes pouvant atteindre 10 000 000 euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, et dans certains cas 20 000 000 euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, selon l’obligation concernée.

La loi française prévoit également des sanctions pénales visant à réprimer le non-respect des obligations en matière de traitement des données à caractère personnel. A titre d’exemple, l’article 226-18 du Code pénal prévoit des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (1 500 000 euros pour une entreprise) en cas de collecte de « données à caractère personnel par un moyen frauduleux, déloyal ou illicite ».

Un avocat spécialisé en nouvelles technologies et data vous conseille et vous assiste afin d’analyser et de cartographier vos flux et vos traitements de données personnelles, d’élaborer et de mettre en œuvre le plan d’action nécessaire pour atteindre un niveau de conformité satisfaisant et minimiser les risques de contrôle et de sanctions. Le plan d’action inclut notamment la rédaction de la documentation nécessaire (registre des activités de traitement, notices d’information, études d’impact, procédures internes, etc.), les recommandations concernant la désignation d’un DPO, la mise en conformité de vos contrats, l’assistance dans la rédaction des procédures de sécurité informatique, la sensibilisation des parties prenantes, etc.

 

Notions de base

 

Un traitement de données personnelles peut être défini comme une opération ou un ensemble d'opérations visant des données à caractère personnel. Ce peut être une collecte, une conservation, un enregistrement, une utilisation, une mise à disposition, une suppression de données personnelles.  

Tous les organismes sont concernés par l’obligation de mise en conformité avec le RGPD, qu’il s’agisse d’une entité privée ou publique.

Selon l’article 3 du RGPD, son application est subordonnée à l’une des conditions suivantes :

  • L’organisme est établi sur le territoire de l’Union européenne ; ou
  • L’organisme n’est pas établi sur le territoire de l’Union européenne mais collecte et traite les données personnelles d’individus résidant dans l’Union européenne en les ciblant dans leurs activités, par exemple :
    • en offrant des biens ou des services à ces personnes, qu’un paiement soit exigé ou non (ex : une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD) ; ou
    • en suivant le comportement de ces personnes, dès lors que ce comportement a lieu au sein de l’Union européenne (par exemple, une application mobile éditée par une entreprise américaine qui permet de tracer les connexions d’utilisateurs situés au sein de l’Union européenne).

 

Si vous répondez à l’une de ces deux conditions et que vous réalisez un traitement de données à caractère personnel, le RGPD vous est applicable et vous êtes donc dans l'obligation de mettre votre organisme en conformité avec le RGPD. 

Comment s’assurer de la conformité d’un organisme au RGPD ? La mise en conformité nécessite l’accomplissement de plusieurs étapes ci-dessous énumérées. 

 

Les étapes pour la mise en conformité RGPD

Le diagnostic

 

La première étape du processus de mise en conformité au RGPD consiste à effectuer le diagnostic RGPD de l’organisme concerné. 

Ce travail a pour objectif de cartographier les traitements de données personnelles, ce qui nécessite de recenser les fichiers de données et d’identifier les activités principales à l'occasion desquelles un traitement de données est réalisé.

 

Le contrôle

 

Une fois que le diagnostic est effectué, il est nécessaire d’analyser la conformité des activités de traitement au RGPD.

Ce contrôle a pour but de déterminer si les traitements mis en œuvre respectent les critères du RGPD : collecte transparente, licite et loyale ; limitation des finalités ; minimisation des données ; exactitude ; intégrité et confidentialité ; limitation de la conservation, et ainsi d’identifier les écarts de conformité (« gaps ») et de définir les actions prioritaires à mettre en œuvre aux fins de mise en conformité, avec l’objectif de minimiser les risques de sanction, dans une démarche constante d’amélioration. 

Par exemple : le contrôle permet d’identifier les données qui ont été collectées inutilement, et ainsi de corriger le processus de collecte pour cibler plus précisément les données nécessaires à la poursuite de la finalité du traitement, ou d’identifier si des durées de conservations des données ont été définies, si des transferts de données hors Union européenne non sécurisés ont lieu, etc.

Cette étape nécessite d’étudier et l’analyse toute la documentation existante (politiques de confidentialité, charte informatique, contrats, registres, procédures, etc.).

 

Le pilotage

 

L’analyse qui a été effectuée au moment du contrôle permettra d’établir un plan d’action visant à mettre en conformité la politique de traitement des données de l’organisme avec les obligations du RGPD. Ce plan d’actions devra être suivi et mis en œuvre dans le cadre d’une véritable gestion de projet, ce qui nécessite la mise en œuvre le cas échéant d’une gouvernance appropriée.

 

La désignation d’un délégué à la protection des données (DPO)

 

Dans certaines situations, il sera nécessaire de désigner un délégué à la protection des données (DPO pour Data Protection Officer). Même si vous n’êtes pas soumis à l’obligation de nomination d'un DPO, il est toutefois recommandé de procéder à une telle nomination.

Le délégué à la protection des données est un acteur central de la politique de conformité d’un organisme au RGPD. Il conseillera sur les mesures de conformité à mettre en place, sensibilisera à l’importance de respecter les obligations du RGPD et contrôlera le respect des obligations applicables à l’organisme en matière de traitement des données. A cette fin, il est nécessaire que le DPO soit indépendant, et dispose de connaissances et compétences juridiques et techniques. 

 

La mise en œuvre des actions prioritaires de mise en conformité

 

Les actions prioritaires à mettre en œuvre peuvent inclure tout ou partie des obligations suivantes :

 

  • Obligation de documentation des traitements : l’obligation de tenir un registre des traitements s’applique à toutes les entreprises ou organisations comptant un minimum de 250 employés, quels que soient les traitements concernés. Cette obligation s’applique également à toute entreprise ou organisation comptant moins de 250 employés, si le traitement effectué est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte sur des données sensibles ou des données personnelles relatives à des condamnations pénales et à des infractions.

Ce registre doit contenir un certain nombre d’informations telles que : l’identification du responsable de traitement, les finalités du traitement, les catégories de données personnelles collectées, les personnes concernées, la durée de conservation des données, les transferts hors Union européenne et les coordonnées du délégué à la protection des données.

Il doit être tenu à la disposition de la CNIL en cas de contrôle.

 

  • L’information : La collecte de données personnelles impose au responsable du traitement d’informer les personnes dont les données sont collectées. Pour conserver une preuve de cette information, il est recommandé de recourir à l’usage d’une charte, politique, d’un formulaire, contrat, etc. Les mentions d’information doivent être conformes au RGPD.

Il est donc nécessaire de rédiger un écrit à destination personnes concernées récapitulant les informations sur le traitement de leurs données personnelles conformément aux articles 13 et 14 du RGPD.

Naturellement, l’obligation de mettre en place un écrit destiné à informer les usagers du site sur la collecte et le traitement de leurs données personnelles s’accompagne de l’obligation de mettre à jour ces informations.

 

  • Les études d’impact (ou Privacy Impact Assessment) : Lorsque le traitement mis en œuvre est susceptible d’engendrer un risque élevé pour la vie privée des personnes, il est nécessaire d’effectuer une analyse d’impact afin de déterminer la nature du risque et d’apporter les mesures correctives qui s’imposent, afin de protéger les données.

L’étude d’impact (Privacy Impact Assessment en anglais) permet de visualiser les risques associés aux traitements et, eu égard à l’identification de ces risques, d’édifier des politiques de sécurité en matière de protection des données.

Il est parfois nécessaire également de consulter la CNIL.

Sauf pour certaines opérations de traitement, l'étude d'impact n'est pas obligatoire en soi. Néanmoins, elle reste fortement recommandée pour répondre aux standards de protection imposés par le RGPD.  

 

  • La sécurisation des contrats : En cas de recours à un partenaire (fournisseur, sous-traitant...) amené à traiter des données personnelles pour le compte de l’organisme, ce dernier doit choisir un partenaire qui présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Par ailleurs, le recours à un tel partenaire doit être encadré par contrat.

Dans les contrats ainsi conclus, il est nécessaire de prévoir des clauses dédiées à la question de la protection des données personnelles.

 

  • La sécurisation des transferts de données hors de l’Union Européenne : Si les données collectées par l’organisme sont en tout ou partie transférées hors de l’Union européenne, l’organisme doit mettre en œuvre un des moyens de sécurisation du transfert prévus par le RGPD.

Les transferts peuvent par exemple être sécurisés par la signature de clauses contractuelles, ou les données personnelles peuvent être transférées vers un pays considéré comme disposant d’une protection adéquate par la Commission européenne, ou être transférées dans le cadre de règles contraignantes d’entreprises, etc.

 

La sécurisation des données :

 

Les entités opérant un traitement de données doivent se prémunir contre toute brèche de sécurité. Cela passera généralement par l’élaboration et la mise en œuvre des mesures techniques et organisationnelles appropriées, adaptées au niveau de risque, et par la documentation de ces mesures, que ce soit par le biais d’une politique de sécurité, par la rédaction d’une charte informatique, éventuellement par l’édiction d’une politique d’habilitation, d’une politique de gestion et de notification des violations de sécurité, etc.

Dans le cadre de la sécurisation des données collectées, il est important de disposer d’un référentiel de sécurité. Ce document énumérera les règles et les principes d’utilisation du système d’information, les procédures de traitement des risques et des incidents de cybersécurité.

 

La gestion des demandes effectuées par les personnes qui exercent leurs droits :

 

L’organisme qui reçoit une demande d’une personne concernée aux fins d’exercer ses droits d’accès, de rectification, d’effacement, d’opposition, de limitation ou de portabilité de ses données personnelles, etc., est tenu d’y répondre dans les délais définis au RGPD.

Si ces demandes sont récurrentes, il est généralement recommandé d’élaborer une procédure de gestion des demandes des personnes concernées afin de fluidifier le processus.

 

Privacy by design and by default :

 

L’organisme doit garantir que les outils, produits, applications ou services utilisés ou offerts à ses clients intègrent de façon effective les principes relatifs à la protection des données, et, par défaut, assurer que les outils, produits, applications ou services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

 

La formation du personnel

 

Enfin, les organismes réalisant des traitements de données (peu important leur forme) ont intérêt à former leur personnel sur le sujet de la protection des données.