Le RGPD expliqué aux
professionnels
Quelles responsabilités ?
Les professionnels traitant des données personnellesToute donnée qui identifie directement ou indirectement une personne physique. Cette identification peut s’effectuer à partir d’une seule donnée ou à partir d’un croisement d’un ensemble de données. Ex1 :… sont susceptibles d’être :
Responsable de traitement ou
Co-responsable de traitement
Sous-traitant
Destinataire non sous-traitant
« Le responsable du traitement fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernéeC’est une personne physique résidant dans l’UE dont les données personnelles sont collectées dans le cadre d’un traitement étant précisé qu’ici la notion de résidence s’entend comme étant physiquement au… »
Dans le cadre de votre activité, vous êtes amenés à traiter des données personnelles portant sur des salariés, des clients, des prospects, des fournisseurs, des partenaires, des adhérents, des administrés etc…
Vous êtes soumis au RGPD qui vous impose plusieurs obligations de conformité pour assurer la protection et la sécurité de ces données avec un devoir d’information et de transparence vis-à-vis des personnes concernées.
Je suis un professionnel du secteur privé :
Je suis un professionnel du secteur public
- Je travaille au sein d’une Collectivité territoriale
- Je travaille au sein d'un EPIC
Quelles sanctions en cas de non-conformité pour les professionnels ?
TPE : Uniontrad Company – Sanction de 20k€
Délibération SAN-2019-006 du 13 juin 2019 (TPE)
Manquement dans le cadre d’installation de caméras sur le lieu de travail.
PME : Monsanto – Sanction de 400K€
Délibération SAN 2021-012 du 29 juillet 2021
Manquement à l’obligation d’information des personnes concernant un fichier de lobbying.
Manquement à la conclusion d’un contrat avec un sous-traitantC’est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement sur ses instructions documentées et conformément au contrat conclu avec....
Deux médecins libéraux – Amendes de 3 000 € et 6 000 €
Délibération SAN 2020-012/013 du 7 décembre 2020
Manquement à l’obligation de sécurité en ayant insuffisamment protégé les données personnellesToute donnée qui identifie directement ou indirectement une personne physique. Cette identification peut s’effectuer à partir d’une seule donnée ou à partir d’un croisement d’un ensemble de données. Ex1 :... de leurs patients.
Manquement à l’obligation de notification d’une violation de données à la CNIL.
Quelles sont les idées reçues les plus fréquentes ?
Penser que l’entreprise, de par sa taille ou son activité, ne semble pas être dans les priorités de contrôle de la CNIL contrairement aux GAFAM et que le risque de plainte à la CNIL serait mineur.
En 2018, la CNIL a reçu l’équivalent de 7 Violations de données par jour. Les plaintes auprès de la CNIL ont augmenté de 30 %, avec 11 900 dépôts entre mai 2018 et mai 2019. Entre 2020 et 2021. Toutes les tailles et activités d’entreprises sont concernées. Les sanctions ont touché des TPE mais également des professionnels libéraux.
Considérer que la mise en conformité RGPD ne concerne que le service informatique, le service juridique ou le DPO.
La conformité RGPD concerne tous les métiers de l’entreprise (du marketing au RH en passant par le commercial). Dans le Service commercial, la plupart des CRM disposent de zones de texte libre, dans lesquelles les utilisateurs peuvent saisir des commentaires liés à un individu (client, fournisseur, ou personnel par exemple). Dans le Service Marketing, la question de l’Opt-in et l’Opt-out est central. Dans le Service RH, il y a de nombreuses problématiques en matière de protection des données personnelles.
S'abstenir de conclure un contrat avec les prestataires sous-traitants en se fondant sur le fait que le RGPD a instauré une responsabilité propre à chaque partie prenante.
Selon l’article 28 du RGPD, il appartient au responsable de traitementC’est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique… de « faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Quels conseils pour se mettre en conformité de façon opérationnelle et pragmatique ?
Faire une cartographie de ses Traitements réalisés en interne (serveurs, disques durs…) et en externe (cloud, Sous-traitants : prestataires informatiques…) et mettre à jour régulièrement son Registre des traitements.
Sensibiliser ses utilisateurs afin d’accroitre leur vigilance en matière de menaces numériques et leur conscience en matière de respect des droits des Personnes concernées.
Rédiger une documentation de conformité en langage clair (clauses de confidentialité, charte informatiques, procédures d’accès…).
Adopter une charte informatiqueDocument destiné aux salariés et qui a vocation à constituer un guide des pratiques autorisées et interdites en matière d’usage des outils informatiques, d’Internet et des réseaux sociaux dans le… pour adopter des bonnes pratiques notamment en matière de BYOD, d’usage des réseaux sociaux sur le lieu de travail, etc…
Assurer la sécurité des postes de travail, de son réseau informatique et de son site Internet et instaurer des process internes en cas de violation de données. Déléguer si besoin sa gestion informatique en concluant un contrat d’infogérance.
Identifier et authentifier les utilisateurs notamment grâce aux fichiers Logs et instaurer une politique d’habilitationCela répond à la question “qui fait quoi ?” Ce sont les décisions prises par une entité destinée à définir le périmètre des droits autorisés (accès, modification, suppression) pour chaque… et de gestion des accès aux Données.
Effectuer régulièrement des sauvegardes des données a minima pour ses données sensiblesC’est une donnée soumise à un régime juridique particulier concernant : • La santé physique ou morale telles que les données relatives à l’existence d’une maladie, d’un handicap, …(même sans que… et instaurer une politique de sauvegarde destinée à assurer une restitution intègre des Données. Prévoir également des tests de restauration.
Effectuer le cas échéant des Purges des données conformément à la politique de durée de conservation.
Encadrer les Traitements réalisés par des sous-traitants. L’établissement d’une liste exhaustive des sous-traitants est recommandé et la formalisation des relations contractuelles est obligatoire.
Désigner un DPO ou à tout le moins un référent interne en matière de protection des données personnelles qui sera le chef d’orchestre en charge d’assurer et maintenir votre conformité RGPD.
Pour aller plus loin ?
implique des points d’attention différents selon les secteurs d'activité et le volume de données traitées et ce malgré des obligations légales similaires ;
nécessite la mise en place d’outils adaptés à vos activités, votre taille et votre budget ;
MyDataPartner a créé des packs de conformité sectoriels avec des actions prioritaires et complémentaires de mise en conformité avec une assistance en ligne.