Le RGPD expliqué aux
professionnels

Quelles responsabilités ?

Les professionnels traitant des données personnelles sont susceptibles d’être :

Responsable de traitement ou
Co-responsable de traitement

Sous-traitant

Destinataire non sous-traitant

Responsabilité partagée avec les sous-traitants
Articles 28 & 29 du RGPD

« Le responsable du traitement fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée »

Dans le cadre de votre activité, vous êtes amenés à traiter des données personnelles portant sur des salariés, des clients, des prospects, des fournisseurs, des partenaires, des adhérents, des administrés etc…

Vous êtes soumis au RGPD qui vous impose plusieurs obligations de conformité pour assurer la protection et la sécurité de ces données avec un devoir d’information et de transparence vis-à-vis des personnes concernées.

MyDataPartner répond à vos questions

Je suis un professionnel du secteur privé :

Je suis un professionnel du secteur public

Quelles sanctions en cas de non-conformité pour les professionnels ?

Exemples de sanctions à l’encontre des personnes morales :

TPE : Uniontrad Company – Sanction de 20k€

Délibération SAN-2019-006 du 13 juin 2019 (TPE)
Manquement dans le cadre d’installation de caméras sur le lieu de travail.

PME : Monsanto – Sanction de 400K€

Délibération SAN 2021-012 du 29 juillet 2021
Manquement à l’obligation d’information des personnes concernant un fichier de lobbying. Manquement à la conclusion d’un contrat avec un sous-traitant.

Exemples de sanctions à l’encontre de professionnels indépendants :

Deux médecins libéraux – Amendes de 3 000 € et 6 000 €

Délibération SAN 2020-012/013 du 7 décembre 2020
Manquement à l’obligation de sécurité en ayant insuffisamment protégé les données personnelles de leurs patients.
Manquement à l’obligation de notification d’une violation de données à la CNIL.

Quelles sont les idées reçues les plus fréquentes ?




En 2018, la CNIL a reçu l’équivalent de 7 Violations de données par jour. Les plaintes auprès de la CNIL ont augmenté de 30 %, avec 11 900 dépôts entre mai 2018 et mai 2019. Entre 2020 et 2021. Toutes les tailles et activités d’entreprises sont concernées. Les sanctions ont touché des TPE mais également des professionnels libéraux.

La conformité RGPD concerne tous les métiers de l’entreprise (du marketing au RH en passant par le commercial). Dans le Service commercial, la plupart des CRM disposent de zones de texte libre, dans lesquelles les utilisateurs peuvent saisir des commentaires liés à un individu (client, fournisseur, ou personnel par exemple). Dans le Service Marketing, la question de l’Opt-in et l’Opt-out est central. Dans le Service RH, il y a de nombreuses problématiques en matière de protection des données personnelles. 




Selon l’article 28 du RGPD, il appartient au responsable de traitement de « faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Quels conseils pour se mettre en conformité de façon opérationnelle et pragmatique ?

10 conseils élémentaires pour une conformité réussie :
Conseil n°1

Faire une cartographie de ses Traitements réalisés en interne (serveurs, disques durs…) et en externe (cloud, Sous-traitants : prestataires informatiques…) et mettre à jour régulièrement son Registre des traitements.

Conseil n°2

Sensibiliser ses utilisateurs afin d’accroitre leur vigilance en matière de menaces numériques et leur conscience en matière de respect des droits des Personnes concernées.

Conseil n°3

Rédiger une documentation de conformité en langage clair (clauses de confidentialité, charte informatiques, procédures d’accès…).

Conseil n°4

Adopter une charte informatique pour adopter des bonnes pratiques notamment en matière de BYOD, d’usage des réseaux sociaux sur le lieu de travail, etc…

Conseil n°5

Assurer la sécurité des postes de travail, de son réseau informatique et de son site Internet et instaurer des process internes en cas de violation de données. Déléguer si besoin sa gestion informatique en concluant un contrat d’infogérance.

Conseil n°6

Identifier et authentifier les utilisateurs notamment grâce aux fichiers Logs et instaurer une politique d’habilitation et de gestion des accès aux Données.

Conseil n°7

Effectuer régulièrement des sauvegardes des données a minima pour ses données sensibles et instaurer une politique de sauvegarde destinée à assurer une restitution intègre des Données. Prévoir également des tests de restauration.

Conseil n°8

Effectuer le cas échéant des Purges des données conformément à la politique de durée de conservation.

Conseil n°9

Encadrer les Traitements réalisés par des sous-traitants. L’établissement d’une liste exhaustive des sous-traitants est recommandé et la formalisation des relations contractuelles est obligatoire.

Conseil n°10

Désigner un DPO ou à tout le moins un référent interne en matière de protection des données personnelles qui sera le chef d’orchestre en charge d’assurer et maintenir votre conformité RGPD.

Et si j’ai besoin de plus d’informations ?

15 minutes offertes pour m'orienter

Bénéficiez de 15 minutes avec l’un de nos avocats experts afin de vous orienter et de vous aider à choisir le meilleur accompagnement adapté à votre situation.

Pour aller plus loin ?

Parce que la conformité des professionnels :

implique des points d’attention différents selon les secteurs d'activité et le volume de données traitées et ce malgré des obligations légales similaires ;

nécessite la mise en place d’outils adaptés à vos activités, votre taille et votre budget ;

MyDataPartner a créé des packs de conformité sectoriels avec des actions prioritaires et complémentaires de mise en conformité avec une assistance en ligne.

Retour en haut

Quels sont les documents RGPD fournis ?

Des documents standards à personnaliser en ligne

Des documents standards et experts à télécharger directement