Le RGPD

Le Règlement Général de Protection des Données

Qui est concerné ?

Le RGPD s’applique à toute structure (entreprise, association, collectivité, publique et privée) qui traite des données personnelles pour son compte ou pour des tiers. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Exemple : un expert-comptable collecte et traite certaines des données personnelles de ses clients ainsi que ses propres données personnelles, il est concerné à double titre.

Le RGPD, pour quoi faire ?

Améliorer la sécurité des données de votre entreprise

L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises.

Rassurer vos clients et donneurs d’ordre et développer votre activité.

Dans tous les secteurs d’activité, les clients seront de plus en plus attentifs à la mise en œuvre du RGPD par leurs prestataires.

Aussi, si vous vous vous mettez en conformité avec le RGPD, vous vous doterez d’un avantage concurrentiel !

Quelles sont les actions à mener pour une mise en conformité RGPD ?

(Attention ! Ces actions doivent perdurer dans le temps pour être efficaces).

Le registre de traitement

La mise en place d’un registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.

La documentation

Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

La documentation sur vos traitements de données personnelles

L’information des personnes

Les contrats qui définissent les rôles et les responsabilités de chacun des acteurs

Le registre sous-traitant

Le Respect des droits des personnes

Informez les personnes à chaque fois que vous collectez des données personnelles.

La sécurisation des données

(Vous avez l’obligation d’assurer la sécurité des données personnelles que vous détenez)

Garantissez-vous contre les risques de pertes de données ou de piratage !

Rédigez une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur).

Signalez à la CNIL les violations de données personnelles

Votre entreprise a subi une violation de données ?

Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

Si ces risques sont élevés pour ces personnes, vous devez les en informer.

Cas de la sous-traitance

Le RGPD reconnaît le rôle des sous-traitants dans le traitement de données personnelles, et leur impose des obligations particulières.

Qui est concerné ?

Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’une autre société ou d’un organisme (le « responsable de traitement »), dans le cadre d’un service ou d’une prestation.

Que doivent faire les sous-traitants ?

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.

Ils doivent prendre en compte l’objectif de protection des données personnelles et de la vie privée dès la conception de leur service (principe du « privacy by design ») ou de leur produit, et ils doivent mettre en place des mesures permettant de garantir une protection optimale des données.

Etes-vous concerné par les traitements de données à risques ou traitez-vous des données sensibles ?

Lorsque vous traitez certains types de données à risque, sont notamment concernées les données dites «sensibles », comme :

  • L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier).
  • Une prise de décision automatisée.
  • La surveillance systématique de personnes (exemple : télésurveillance).
  • Le traitement de données sensibles (exemple : santé, biométrie, etc.).
  • Le traitement de données concernant des personnes vulnérables (exemple : mineurs).
  • Le traitement à grande échelle de données personnelles.
  • Le croisement d’ensembles de données.
  • Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté).
  • L’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).

Si vos traitements de données répondent à au moins 1 de ces 9 critères, vous devez conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.

Dans le cas ou vos traitements répondent à au moins 2 des 9 critères, l’analyse d’impact doit être réalisée de façon quasi systématique.

Le DPO (délégué à la protection des données)

Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données.

Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers.

Dans les autres cas, la désignation d’un délégué (DPO) est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.

Pour résumer

  1. Ne collectez que les données vraiment nécessaires. Quel est mon objectif et quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ? Est-ce pertinent ?
  2. Les personnes concernées sont-elles d’accord ?
  3. Posez-vous les bonnes questions :
  4. Soyez transparent.
  5. Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.
  6. Pensez aux droits des personnes.
  7. Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données.
  8. Gardez la maîtrise de vos données.
  9. Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, afin de leur assurer une protection à tout moment.
  10. Identifiez les risques.
  11. Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.
  12. Sécurisez vos données.
  13. Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident.

Ce que nous proposons

Depuis le début de cette année, nous avons mis en place, avec nos juristes, toute une gamme de prestations pour vous accompagner dans la démarche.

Ainsi, nous pouvons réaliser l’audit de mise en conformité, la conception règlementaire de votre charte informatique, les avenants çà vos contrats de travail, votre politique de confidentialité et beaucoup d’autres choses, tout cela à des tarifs compétitifs.

Renseignez-vous au 09 61 32 93 49, par mél : jmrh-consultant63@orange.fr, ou via notre page « contact »