Formality.fr

Mise en conformité globale avec le RGPD

 Vous souhaitez protéger votre propriété intellectuelle ou encore vous prémunir en cas de violation de la réglementation ?


Votre entreprise est passible de sanctions administratives importantes en cas de non-respect des dispositions du RGPD, ainsi que de sanctions pénales.

Vous souhaitez avancer sur votre processus de mise en conformité au Règlement Général sur la Protection des Données (RGPD) ?

C’est pourquoi MyFormality vous accompagne dans cette opération et vous assiste tout au long du processus.

N'hésitez pas à lire notre descriptif

↓↓↓

Notre offre

1H de visio avec accompagnement par un avocat

209,00 HT
Je commence
  • Prenez rendez-vous avec notre Avocat en Droit des données personnelles
  • Un appel en visioconférence pour cerner les besoins

Nos garanties

Assistance par des professionnels

Qualité aux meilleurs prix

Vous souhaitez avancer sur votre processus de mise en conformité au Règlement Général sur la Protection des Données (RGPD) ?

Le RGPD est un règlement de l’Union européenne, applicable depuis le 25 mai 2018. Il a vocation à encadrer la collecte et le traitement des données personnelles de vos clients, prospects, salariés, candidats, fournisseurs, et plus généralement de toute personne physique dont votre entreprise collecte ou traite de manière directe ou indirecte des données personnelles. Depuis cette date, la mise en conformité RGPD est devenu obligatoire pour les entreprises traîtant des données personelles.

Si, à l’occasion de votre activité, vous réalisez des traitements de données personnelles, vous avez l’obligation de vous mettre en conformité avec les dispositions du RGPD. 

Votre entreprise est passible de sanctions administratives importantes en cas de non-respect des dispositions du RGPD, ainsi que de sanctions pénales.

Selon l’article 83 du RGPD, le non-respect des obligations incombant au responsable de traitement en vertu du RGPD peut entraîner des amendes pouvant atteindre 10 000 000 euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, et dans certains cas 20 000 000 euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, selon l’obligation concernée.

La loi française prévoit également des sanctions pénales visant à réprimer le non-respect des obligations en matière de traitement des données à caractère personnel. A titre d’exemple, l’article 226-18 du Code pénal prévoit des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (1 500 000 euros pour une entreprise) en cas de collecte de « données à caractère personnel par un moyen frauduleux, déloyal ou illicite ».

Un Délégué à la Protection des Données personnelles (DPO) vous conseille et vous assiste afin d'analyser et de cartographier vos flux et vos traitements de données personnelles, ainsi que d’élaborer et de mettre en œuvre le plan d’action nécessaire pour atteindre un niveau de conformité satisfaisant et minimiser les risques de contrôle et de sanctions.

Le plan d’action inclut notamment:

  • La rédaction de la documentation nécessaire (registre des activités de traitement, notices d’information, études d’impact, procédures internes, etc.)
  • La mise en conformité de vos contrats
  • L’assistance dans la rédaction des procédures de sécurité informatique
  • La sensibilisation des parties prenantes, ainsi que de vos salariés
  • etc

En définitive, cette réglementations ne s’appliquent qu’à deux conditions. La première étant que l’on doit être en présence de données personnelles. Le RGPD ne protège pas directement d’autres catégories de données. La seconde condition étant d’être en présence d’un traitement sur cette donnée personnelle.

Aujourd’hui cette réglementation protège aussi et surtout contre les abus de sociétés commerciales. La mise en œuvre du
RGPD protège et sécurise les données mais elle offre aussi l’opportunité pour les acteurs économiques d’avoir un cadre juridique clair. En effet, il existe des risques économiques et réputationnels pour les entreprises. L'absence de mise en conformité RGPD entraîne également des risque juridiques.

Découvrez également notre offre dédiée à la mise en conformité RGPD de votre site web.

 

Notions de base

 

Une donnée personnelle est toute donnée concernant une personne physique identifiée ou identifiable. Les plus évidentes sont les données d’état civil comme le nom, le prénom ou encore, la date et le lieu de naissance. Mais il existe également d’autres données, peut-être moins évidentes, considérées comme des données personnelles. Parmi elles figurent notamment :
- Les informations de la vie personnelle (le statut marital, le nombre d’enfants) ;
- Les informations de la vie professionnelle (parcours de formation) ;
- Les informations d’ordre économique et financière (le salaire).

ll est fondamental d’évoquer aussi, les données considérées comme des données sensibles. Ce sont toutes les données pouvant donner lieu à une discrimination des personnes. On peut ainsi évoquer bien évidemment les données raciales ou ethniques, les opinions politiques ou syndicales ou encore l’orientation sexuelle

Un traitement de données personnelles peut quant à lui être défini comme une opération ou un ensemble d'opérations visant des données à caractère personnel. Ce peut être une collecte, une conservation, un enregistrement, une utilisation, une mise à disposition, ou encore une suppression de données personnelles.  

Tous les organismes sont concernés par l’obligation de mise en conformité avec le RGPD, qu’il s’agisse d’une entité privée ou publique.

Selon l’article 3 du RGPD, son application est subordonnée à l’une des conditions suivantes :

  • L’organisme est établi sur le territoire de l’Union européenne
  • L’organisme n’est pas établi sur le territoire de l’Union européenne mais collecte et traite les données personnelles d’individus résidant dans l’Union européenne en les ciblant dans leurs activités, par exemple :
    • En offrant des biens ou des services à ces personnes, qu’un paiement soit exigé ou non (ex : une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD) ;
    • Ou en suivant le comportement de ces personnes, dès lors que ce comportement a lieu au sein de l’Union européenne (par exemple, une application mobile éditée par une entreprise américaine qui permet de tracer les connexions d’utilisateurs situés au sein de l’Union européenne).

Si vous répondez à l’une de ces deux conditions et que vous réalisez un traitement de données à caractère personnel, le RGPD vous est applicable et vous êtes donc dans l'obligation de mettre votre organisme en conformité avec le RGPD.

 

Les étapes pour la mise en conformité RGPD

 

Le diagnostic

 

La première étape du processus de mise en conformité au RGPD consiste à effectuer le diagnostic RGPD de l’organisme concerné.

On parle de cartographie des traitements. Ce travail a pour objectif de cartographier les traitements de données personnelles, ce qui nécessite de recenser les fichiers de données et d’identifier les activités principales à l'occasion desquelles un traitement de données est réalisé.

 

Le contrôle

 

Une fois que le diagnostic est effectué, la deuxième étape de la mise en conformité RGPD est d’analyser la conformité des activités de traitement au RGPD.  On parle d'audit de conformité. L’objectif de cet audit permet d’évaluer le niveau de conformité du système, en vérifiant que les données personnelles sont collectées et traitées informatiquement selon le RGPD. La réalisation de l’audit RGPD du système d’information permet de montre s'il existe ou non des mesures garantissant la sécurité et la confidentialité des données récoltées. Cet audit RGPD concerne à la fois les éléments organisationnels et les éléments architecturaux impactant les accès aux données, l’effectivité des droits des personnes ainsi que le chiffrement et la durée de conservation des données. La réalisation de cet audit permettra aux experts de dresser une liste de constats et de proposer un plan d’action de mise en conformité à la réglementation applicable.

Finalement, ce contrôle a pour but de déterminer si les traitements mis en œuvre respectent les critères du RGPD : collecte transparente, licite et loyale ; respect des finalités de traitement ; minimisation des données ; intégrité et confidentialité ; limitation de la durée de conservation. Cette procédure permettra d’identifier les écarts de conformité et de définir les actions prioritaires à mettre en œuvre aux fins de mise en conformité. L'objectif est de minimiser les risques de sanction, dans une démarche constante d’amélioration.

Par exemple, le contrôle permet d’identifier les données qui ont été collectées inutilement, et ainsi de corriger le processus de collecte pour cibler plus précisément les données nécessaires à la poursuite de la finalité du traitement, ou d’identifier si des durées de conservations des données ont été définies, ou encore si des transferts de données hors Union européenne non sécurisés ont lieu.

Cette étape nécessite d’étudier et l’analyse toute la documentation existante (politiques de confidentialité, charte informatique, contrats, registres, procédures, etc.).

 

Le pilotage

 

L’analyse qui a été effectuée au moment du contrôle permettra d’établir un plan d’action visant à mettre en conformité la politique de traitement des données de l’organisme avec les obligations du RGPD. Ce plan d’actions devra être suivi et mis en œuvre dans le cadre d’une véritable gestion de projet, ce qui nécessite la mise en œuvre le cas échéant d’une gouvernance appropriée.

 

La désignation d’un délégué à la protection des données (DPO)

 

Dans certaines situations, il sera nécessaire de désigner un délégué à la protection des données (DPO pour Data Protection Officer). Même si vous n’êtes pas soumis à l’obligation de nomination d'un DPO, il est toutefois recommandé de procéder à une telle nomination.

 

Le délégué à la protection des données est un acteur central de la politique de conformité d’un organisme au RGPD. Il conseillera sur les mesures de conformité à mettre en place, sensibilisera à l’importance de respecter les obligations du RGPD et contrôlera le respect des obligations applicables à l’organisme en matière de traitement des données. Il n’est pas le responsable de la gestion des données et de la conformité. Il a uniquement un rôle de conseil, il n’engage pas sa responsabilité. Il indique les bonnes pratiques à adopter, organise des réunions de sensibilisation et
va suggérer des procédures garantissant le respect des données personnelles. A cette fin, il est nécessaire que le DPO soit indépendant, et dispose de connaissances ainsi que des compétences juridiques et techniques. 

Le DPO est aussi le point de contact avec les tiers. En cas de contrôle par la CNIL, il sera l'intermédiaire privilégié, notamment en ce qui concerne l'exercice du droit des personnes.

 

La mise en œuvre des actions prioritaires de mise en conformité

 

Les actions prioritaires à mettre en œuvre dans le cadre d'une mise en conformité RGPD peuvent inclure tout ou partie des obligations suivantes :

 

Obligation de documentation des traitements

 

L’obligation de tenir un registre des traitements s’applique à toutes les entreprises ou organisations comptant un minimum de 250 employés, quels que soient les traitements concernés. Cette obligation s’applique également à toute entreprise ou organisation comptant moins de 250 employés, si le traitement effectué peut comporter un risque pour les droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte sur des données sensibles ou des données personnelles relatives à des condamnations pénales et à des infractions.

Ce registre doit contenir un certain nombre d’informations telles que : l’identification du responsable de traitement, les finalités du traitement, les catégories de données personnelles collectées, les personnes concernées, la durée de conservation des données, les transferts hors Union européenne et les coordonnées du délégué à la protection des données.

Il doit être tenu à la disposition de la CNIL en cas de contrôle.

 

L'information et le consentement des personnes

 

Lorsqu’on collecte des données personnelles directement auprès d’une personne, il faut préalablement obtenir son consentement. Le consentement est l’autorisation donnée par une personne pour la collecte et le traitement de ses données. Il doit provenir de la réalisation d’un acte positif de la personne concernée. Par exemple, il s'agit de cocher une case pour donner son consentement. A l’inverse, la mise en place d'un formulaire avec une case précochée n’est pas conforme au RGPD.

La collecte de données personnelles impose au responsable du traitement d’informer les personnes dont les données sont collectées. Pour conserver une preuve de cette information, il est recommandé de recourir à l’usage d’une charte, politique, d’un formulaire, contrat, etc. Les mentions d’information doivent être conformes au RGPD. L'information doit être claire et lisible sur le traitement opéré.

Il est donc nécessaire de rédiger un écrit à destination personnes concernées récapitulant les informations sur le traitement de leurs données personnelles conformément aux articles 13 et 14 du RGPD.

Naturellement, l’obligation de mettre en place un écrit destiné à informer les usagers du site sur la collecte et le traitement de leurs données personnelles s’accompagne de l’obligation de mettre à jour ces informations.

 

Les études d'impact (ou Privacy Impact Assessment):

 

Lorsque le traitement mis en œuvre est susceptible d’engendrer un risque élevé pour la vie privée des personnes, il est nécessaire d’effectuer une analyse d’impact afin de déterminer la nature du risque et d’apporter les mesures correctives qui s’imposent, afin de protéger les données.

L’étude d’impact (Privacy Impact Assessment en anglais) permet de visualiser les risques associés aux traitements et, eu égard à l’identification de ces risques, d’édifier des politiques de sécurité en matière de protection des données.

Il est parfois nécessaire également de consulter la CNIL.

Sauf pour certaines opérations de traitement, l'étude d'impact n'est pas obligatoire en soi. Néanmoins, elle reste fortement recommandée pour répondre aux standards de protection imposés par le RGPD.  

 

La sécurisation des contrats

 

En cas de recours à un partenaire (fournisseur, sous-traitant...) amené à traiter des données personnelles pour le compte de l’organisme, ce tiers doit être choisi de manière à ce qu'il présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Par ailleurs, le recours à un tel partenaire doit être encadré par contrat. Dans les contrats ainsi conclus, il est nécessaire de prévoir des clauses dédiées à la question de la protection des données personnelles.

 

La sécurisation des transferts de données hors de l’Union Européenne :

 

L'application du RGPD exige de garantir un niveau de protection suffisant aux personnes concernées. En effet, tous les pays dans le monde ne
disposent pas d’une législation sur les données personnelles et lorsque celle-ci existe, elle n’offre pas nécessairement les mêmes garanties que celles de l’UE.

En principe, on ne peut ni héberger des données sur un autre territoire ni donner accès aux données à des personnes qui résident dans un pays étranger. Cependant, il existe certaines exceptions à ce principe. En effet, lorsque les pays étrangers sont considérés comme bénéficiant d’une réglementation sur la protection des données équivalentes au RGPD, il est permis de transférer des données vers ces pays.

Si les données collectées par l’organisme sont en tout ou partie transférées hors de l’Union européenne, l’organisme doit alors mettre en œuvre un des moyens de sécurisation du transfert prévus par le RGPD.

Les transferts peuvent par exemple être sécurisés par la signature de clauses contractuelles, ou les données personnelles peuvent être transférées vers un pays considéré comme disposant d’une protection adéquate par la Commission européenne, ou être transférées dans le cadre de règles contraignantes d’entreprises, etc.

 

La durée de conservation des données

 

Les données personnelles collectées et traitée ont chacune une espérance de vie. La limitation de la durée de conservation des données vise à
limiter les risques pour les personnes concernées en cas de violations de celle-ci. L’objectif est de conserver les données uniquement pour une durée nécessaire à l'accomplissement de leur finalité. Cette durée doit être définie à partir du moment où la donnée est mise à disposition, par le responsable de traitement des données.

A l’issue de la durée définie, les données doivent être soit anonymisées soit supprimées. Il est possible de conserver les données anonymes à des fins statistiques ou historiques par exemple.

 

L'exercice des droits des personnes:

 

Au titre de la réglementation sur la protection des données personnelles, les personnes concernées par un traitement de données personnelles ont plusieurs droits. Il s'agit du droit d'accès, de modification, de suppression, d'opposition, ou encore le droit à la portabilité de l'ensemble de ses propres données. Ils vont permettre de garantir le droit au respect de la vie privée des personnes concernées.

  • Le droit d'accès

Les personnes peuvent demander à accéder à leurs données qui sont collectées puis traitées. Il peuvent prendre connaissance des types de données traitées, les finalités des traitements et les sources de données. Ces dernières doivent être communiquées dans un format ouvert et réutilisable.

  • Le droit à la modification

Toute personne concernée par un traitement peut demander la modification des données si elle constate que celles-ci sont inexactes ou qu’elles ne sont plus à jour.

  • Le droit d'opposition

Les personnes concernées peuvent également exercer leur droit d'opposition et de suppression des données. Une personne ayant donné son consentement peut se rétracter et demander l'effacement de ses données. C'est également le cas lorsque la collecte et le traitement ont été fait de manière illicite.

  • Le droit à la portabilité

Il s'agit d'un droit qui permet à chaque utilisateur d’un service numérique de demander l’accès à ses données afin de les récupérer et de les passer d’un opérateur de service numérique à l’autre. La mise en œuvre du droit à la portabilité va par exemple faciliter la récupération de vos données afin de
changer de réseau social.

 

Toutefois, ces droits ne sont pas absolus, car leur mise en œuvre doit veiller à respecter d’autres obligations légales. De plus, l’exercice de ces droits ne doit pas non plus donner lieu à des abus.

 

Privacy by design and by default 

Le principe Privacy by Design and by Default consiste à garantir la protection des données personnelles et corrélativement de la vie privée des personnes concernées à chaque niveau de l'entreprise. En d'autre termes, la protection des données personnelles doit être assurée dès la conception des différents projets (privacy by design), puis à toutes les étapes qui vont suivre lorsque le produit ou service est rendu public (privacy by default).

Ainsi, l'application de ce principe permet aux entreprises d'être plus transparentes et de respecter ce qu'on appelle la minimisation des données, qui consiste à limiter la collecte et le traitement de celles-ci à la réalisation des finalités qui ont été prévues. Il s'agit en quelques sorte d'une mesure préventive qui va permettre une protection optimale des données personnelles des utilisateurs.

 

La formation du personnel

 Enfin, les organismes réalisant des traitements de données doivent former leur personnel sur le sujet de la protection des données. La formation intervient préalablement à la mise en conformité RGPD, puis tout au long du processus.

La sensibilisation permet de présenter de manière concrète à l’ensemble de votre équipe, les enjeux du RGPD et les bonnes pratiques à adopter au quotidien pour rester en conformité avec la réglementation, ainsi que les risques liés.