NTIC Conseils

Mise en conformité RGPD

Notre cabinet vous accompagne tout au long du processus de mise en conformité à la règlementation applicable en matière de droit des données à caractère personnel et plus précisément au nouveau Règlement Général sur la Protection des Données (RGPD).

Nos prestations

Nous vous proposons d’auditer votre organisme pour établir un état des lieux afin de vous rendre conforme à la législation en vigueur.

Nos prestations se matérialisent notamment par :

mise-en-conformite-rgpd

Une visite dans vos locaux afin d’effectuer un audit complet des traitements de données à caractère personnel mis en œuvre dans votre entreprise

Votre accompagnement dans la cartographie des traitements et l’établissement de registres de traitements

Le conseil et la gestion des risques éventuellement engendrés par les traitements de données à caractère personnel

La rédaction des documents juridiques nécessaires à la mise en conformité RGPD

L’encadrement des éventuels transferts de données vers des pays situés hors de l’Union européenne

L’accompagnement dans la désignation d’un DPO, si nécessaire

L’établissement de la documentation prouvant votre conformité

I. Une responsabilisation des acteurs

A. La suppression de l’obligation de déclaration préalable à la CNIL

Avant l’entrée en vigueur du RGPD, un régime de déclaration à la CNIL était en vigueur. En fonction du traitement de données à caractère personnel mis en œuvre, une déclaration normale, simplifiée ou une demande d’autorisation devait être effectuée auprès de la CNIL.

Avec l’entrée en vigueur du RGPD le 25 mai 2018, l’ensemble de ces formalités ne sont plus requises.

Les déclarations auprès de la CNIL ont été supprimées.

B. Le principe d’Accountability

mise-en-conformite-rgpd-02

Le principe d’Accountability ou de responsabilisation des organismes, prévu à l’article 24 du RGPD, est venu remplacer le système de déclaration CNIL.

Désormais, le responsable de traitement est tenu de mettre en œuvre et de démontrer que toutes les mesures techniques et organisationnelles nécessaires à assurer la conformité du traitement de données à caractère personnel au RGPD ont été effectuées.

Pour cela, le responsable de traitement constitue une documentation permettant de prouver la mise en conformité RGPD de son organisme.

Une plus grande responsabilité incombe aux entreprises qui doivent mettre en place des processus internes démontrant leur respect à la législation. Cette documentation est tenue à la disposition de la Cnil et transmise en cas de demande. Elle est composée du registre des traitements, des analyses d’impact, des documents encadrant les transferts de données à caractère personnel, de l’information des personnes et des contrats modifiés de manière à prendre en compte la nouvelle législation

C. L’encadrement des relations entre responsable de traitement et sous-traitant

Selon l’article 28 du RGPD, un responsable de traitement est tenu de s’assurer que son sous-traitant présente les « garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées » de manière à ce que le traitement de données à caractère personnel soit conforme au RGPD.

Les contrats de sous-traitance devront dès lors comporter des dispositions ou un avenant encadrant et protégeant les données à caractère personnel concernées par le traitement mis en œuvre.

II. La mise en conformité RGPD

Sans que cette liste ne soit considérée comme exhaustive, la mise en conformité RGPD se réalise en plusieurs étapes.

La fonction de délégué à la protection des données a été instaurée par RGPD. Elle est obligatoire dans certains cas et constitue en elle-même l’une des étapes de la mise en conformité d’une entreprise au RGPD.

L’article 37 du RGPD prévoit qu’un organisme responsable de traitement ou sous-traitant devra désigner un DPO lorsque :

  • Un traitement de données à caractère personnel est effectué par une autorité publique ou un organisme public
  • En raison de leur nature, leur portée et leurs finalités, les traitements de données à caractère personnel effectués par l’organisme exigent un suivi régulier et systématique à grande échelle des personnes
  • L’organisme effectue un traitement à grande échelle de données relatives à des condamnations pénales et à des infractions, ou de données dites sensibles (selon l’article 9 du RGPD révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou la vie ou l’orientation sexuelle).

Dans tous les autres cas, la désignation d’un délégué à la protection des données n’est pas obligatoire mais vivement recommandée. Le DPO sera la personne chargée de veiller et d’assurer cette mise en conformité.

Conformément à l’article 30 du RGPD, chaque responsable de traitement est tenu de tenir un registre des traitements mis en œuvre dans son organisme. Ce registre doit détailler l’identité du responsable de traitement, les finalités du traitement, les catégories de personnes concernées, les destinataires des données, si ces données fond l’objet d’un transfert hors de l’Union européenne, les délais de conservation ainsi que les mesures de sécurité prises.

Ce registre doit être conservé au sein de la documentation de mise en conformité RGPD tenue à la disposition de la CNIL et régulièrement mis à jour.

La mise en conformité RGPD comprend également la mise en œuvre de mesures techniques et organisationnelles au sein de l’organisme afin de garantir la sécurité du traitement de données à caractère personnel effectué (article 32 du RGPD).

La sécurité physique des données à caractère personnel mais également numérique doit être assurée par le responsable de traitement. Des mesures de pseudonymisation, de chiffrement des données, de confidentialité ou autres doivent être mises en œuvre.

Toute violation de données doit être notifiée à la CNIL dans un délai 72 heures ainsi qu’à la personne concernée si cette violation a engendré ou est susceptible d’engendrer un risque élevé pour ses droits et libertés.

De manière générale, une analyse d’impact devra être effectuée avant la mise en œuvre d’un traitement de données à caractère personnel lorsque celui-ci est susceptible de présenter un risque élevé pour les droits et libertés des personnes notamment par le recours à de nouvelles technologies et compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

L’article 35 du RGPD prévoit qu’une analyse d’impact est requise lorsque le traitement de données à caractère personnel permet :

  • L’évaluation systématique et approfondie d’aspects personnels des personnes
  • Le traitement à grande échelle de données dites sensibles ou relatives à des condamnations pénales
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Les personnes concernées par le traitement de données mis en œuvre par un organisme disposent, en vertu de la loi Informatique et libertés, de certains droits.

Les personnes concernées ont notamment des droits d’information, d’accès aux données, de rectification, d’effacement, de limitation du traitement, d’opposition, de retrait de leur consentement ou encore de portabilité.

Le responsable de traitement est tenu de veiller à l’information effective des personnes et de mettre en œuvre un processus permettant l’exercice effectif de des droits. Selon le traitement mis en œuvre, cette information comportera certaines spécificités.

Tout transfert de données à caractère personnel en dehors de l’Union européenne doit faire l’objet d’un encadrement juridique spécifique prévu par le RGPD.

Par principe, les États membres de l’Union européenne sont réputés respecter un niveau de protection adéquat au Règlement européen et ne nécessitent pas dispositions particulières.

Pour les autres pays, à défaut de décision d’adéquation permettant de s’assurer que le pays en question dispose d’un niveau suffisant de protection des données à caractère personnel, certaines mesures doivent être mises en œuvre.

Les transferts de données vers des pays situés hors de l’Union européenne et ne faisant pas l’objet d’une décision d’adéquation, doivent être encadrés par des clauses contractuelles types ou des Binding coporates rules (BCR).

La mise en conformité RGPD s’effectue également sur le site internet de votre entreprise qui doit respecter les principes de sécurité et d’information des personnes concernées.

Doivent notamment figurer sur le site, des mentions légales, une politique de confidentialité, une politique de cookies si vous en utilisez ou encore un bandeau cookies permettant d’informer et de recueillir le consentement de l’internaute.

Notre cabinet vous accompagne et vous conseille sur l’ensemble des mesures à mettre en œuvre pour encadrer les traitements de données à caractère personnel de votre entreprise. Nous vous rédigeons l’ensemble des documents juridiques permettant de mettre en conformité votre entreprise à la législation.

Contactez-nous

Notre cabinet vous accompagne sur toutes les problématiques liées aux données personnelles et propriété intellectuelle

01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.