SlideShare une entreprise Scribd logo
BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
ACTUALITES :
LE RGPD : le nouveau casse-tete
des entreprises
1- RGPD : Mais qu’est-ce que c’est ??
C’est Le Règlement Général sur la Protection des Données dit « RGPD »
 Le but de ce Règlement : Garantir une meilleure maîtrise des données personnelles.
 La Conséquence pour les Entreprises : Chaque entreprise, quelle que soit sa taille et son secteur
d’activité, va devoir modifier ses réflexes existants sur le recueil, le traitement et la conservation des
données personnelles, qu’elles soient numériques ou sous format papier.
 La sanction en cas de non-respect : Elle peut aller jusqu’à 4% du Chiffre d’affaire annuel
 Applicable à compter de quand : Le 25 mai 2018….. c’est-à-dire demain …. !!
2- Une donnée personnelle c’est quoi ?
Une donnée personnelle est toute information relative à une personne physique
identifiée ou qui peut être identifiée, directement ou indirectement, par référence à
un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.
Directement, c’est-à-dire toutes informations sur : un nom, une adresse, un
identifiant en ligne, un ou plusieurs éléments spécifiques propres à l'identité
physique, physiologique, économique... d'une personne. Ex : Les données professionnelles d'une personne (telle
que sa carte de visite) sont considérées comme des données personnelles.
Indirectement, comme par exemple un matricule, numéro de sécurité social, empreinte digitale (etc..) ou par
recoupements d’informations.
BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
3- Qu’est-ce qu’un traitement de données personnelles ?
C’est une opération portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement,
organisation, etc …) Exemple : tenue d’un fichier client, collecte de coordonnées de prospects via un questionnaire,
mise à jour d’un fichier fournisseur, etc …
Par contre un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données
personnelles.
4- Comment faire pour passer à l’action ?
Étape 1 : désigner un Délégué à la protection des données (DPO)
Cette personne sera en charge de tout ce qui a trait aux données personnelles pour l’entreprise.
 Obligatoire dans 2 situations :
- Lorsque vos activités de base vous amènent à réaliser un suivi à grande échelle, régulier et systématique des
personnes,
- Lorsque vos activités de base vous amènent à traiter à grande échelle des données dites "sensibles" (orientation
sexuelle, convictions religieuses, données biométriques, génétiques ou de santé, origine raciale ou ethnique, etc),
ou relatives à des condamnations pénales et infractions.
 Sinon vivement recommandé
Il est possible de faire appel à un DPO externe. Il peut aussi être mutualisé entre plusieurs organismes ou
au sein d’associations ou de fédérations professionnelles.
Pour en savoir plus : « Dossier le délégué à la protection des données » sur le site de la CNIL.
Étape 2 : établir un registre des données personnelles utilisées dans l'entreprise
But : Faire une « photographie » des données personnelles collectées et traitées par l’entreprise, qu’elles le soient
par voie informatique ou papier. De savoir quelles données sont utilisées et par quels services. Le registre peut
être informatique ou papier.
Dans ce registre, il faut créer une fiche pour chaque activité qui nécessite la collecte et le traitement de données, en
précisant : l'objectif poursuivi ; les catégories de données utilisées ; qui a accès aux données ; la durée de
conservatoire de ces données.
Il existe un modèle sous format excel sur le site de la Cnil
BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
Étape 3 : analyser les données du registre
Il faut vérifier pour chaque traitement :
- les circonstances de collecte des données : le consentement a-t- il été obtenu ?
- l'information délivrée aux personnes faisant l'objet de la collecte et du traitement : les personnes ont- elles
été informées lors de la collecte de la finalité du traitement de celles-ci et de leurs droits ?
 La Cnil prépare des modèles de mentions d’informations pour les PME
- la nature des données collectées au regard de la finalité : seules les données strictement nécessaires au
traitement et à la finalité recherchée peuvent être collectées et traitées.
Précisions de la Cnil : Pour les fichiers existants : les entreprises qui ont accompli une déclaration de conformité à
la Norme Cnil relative aux fichiers clients-prospects et vente en ligne (dite Norme NS-048) ou autres normes
relatives à la gestion des salariés (gestion administrative, badgeuse, gestion de flottes de véhicules, etc ..) n’auront
pas, pendant 3 ans, à réaliser une étude d’impact.
Étape 4 : mettre en place des mesures pour sécuriser les données et sensibiliser tous les
salariés de l'entreprise
Après avoir fait le registre il faut agir !
Comment ? Quelques pistes :
- Informer les salariés des démarches en cours dans l’entreprise pour se conformer
au RGPD
 (La Cnil propose sur son site un modèle de courrier à l’attention des salariés)
- Indiquer dans les documents de collecte notamment, la finalité de cette collecte et
du traitement prévu et les droits des personnes
 Des mentions d’informations seront bientôt proposées par la Cnil
- Laisser à la personne la possibilité de s’opposer au traitement indiqué
-
- Indiquer les coordonnés de l’interlocuteur à contacter pour que la personne
puisse faire valoir ses droits de modification et de suppression
-
- Prévoir un lien de désinscription à chaque newsletter envoyée
-
- Prévoir la sécurisation des locaux dans lesquels les données sont conservées
- Etc
BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
Étape 5 : donner l'accès à la donnée et permettre sa portabilité
Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format
ouvert et lisible par machine.
Elles peuvent ainsi les stocker et les transmettre facilement d'un système d'information à un autre, en vue de leur
réutilisation à des fins personnelles.
Étape 6 : mener une analyse d'impact relative à la protection des données (DPIA) pour
certains traitements strictement définis
Cette analyse est obligatoire dès lors qu'il y a combinaison de deux des critères suivants :
- évaluation ou notation ;
- décision automatisée avec effet juridique ou effet
similaire significatif ;
- surveillance systématique ;
- données sensibles ou données à caractère hautement
personnel ;
- données personnelles traitées à grande échelle ;
- croisement d'ensembles de données ;
- données concernant des personnes vulnérables ;
- usage innovant ou application de nouvelles solutions
technologiques ou organisationnelles ;
- exclusion du bénéfice d'un droit, d'un service ou
contrat.
L'analyse d'impact permet d'évaluer, en particulier, l'origine, la nature, la particularité et la gravité du risque pour les
droits et libertés des personnes concernées.
La Cnil met un logiciel dédié à disposition : www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Étape 7 : programmer la suppression des données
Le RGPD impose de procéder à la suppression des données personnelles dès lors qu'elles ne sont plus
nécessaires au regard de la finalité en application du principe de durée de conservation limité en prévoyant des
délais de suppression des données, en fonction de chaque fichier.
BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018
Étape 8 : réagir immédiatement en cas d'atteinte / de risque d'atteinte aux données
personnelles
Dès lors qu'une violation de données est portée à la connaissance de
l'entreprise et que celle-ci a un impact sur des données personnelles, la CNIL
doit être informée dans les 72h.
Pour en savoir plus ou pour vous aider :
 « Guide sécurité des données personnelles » sur le site internet de la CNIL
 En cas de difficultés (sinistre, attaque informatique,, etc ..) le site gouvernementale
www.cybermalveillance.gouv.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires
approuvés.
Nous restons naturellement à votre entière disposition pour tout complément d’information sur le sujet.
Marilyne ROHOU Frédéric LEPRETRE Laïaché LAMRANI
Expert-comptable associée Expert-comptable associé Expert-comptable associé
Commissaire aux comptes Master Droit des Affaires

Contenu connexe

Tendances

RGPD
RGPDRGPD
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
Forums financiers de Wallonie
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
Yves Gattegno
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
Dominique Gayraud
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
Terface
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
Fred Gerdil
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

Lexing - Belgium
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
Jean-Michel Tyszka
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
Nuageo
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
cedric delberghe
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
Romain Fonnier
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
_unknowns
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
AT Internet
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
Pascal ALIX
 
Rgpd
RgpdRgpd
RGPD
RGPDRGPD
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
Nicolas Wipfli
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
Antoine Vigneron
 

Tendances (20)

RGPD
RGPDRGPD
RGPD
 
Comment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPDComment atteindre la conformité au RGPD
Comment atteindre la conformité au RGPD
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Rgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressedRgpd cdg 13 2018.compressed
Rgpd cdg 13 2018.compressed
 
Livre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des DonnéesLivre Blanc- Règlement Général européen sur la Protection des Données
Livre Blanc- Règlement Général européen sur la Protection des Données
 
Enjeux du RGPD pour les PME
Enjeux du RGPD pour les PMEEnjeux du RGPD pour les PME
Enjeux du RGPD pour les PME
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
Comprendre le RGPD
Comprendre le RGPDComprendre le RGPD
Comprendre le RGPD
 
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
Rgpd simplifié - Présentation du CGAS & AGEPROLS du 22/05/2018
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
C'est quoi le RGPD ?
C'est quoi le RGPD ?C'est quoi le RGPD ?
C'est quoi le RGPD ?
 
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
RGPD & Data Privacy : la CNIL au Digital Analytics Forum 2018
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
Rgpd
RgpdRgpd
Rgpd
 
RGPD
RGPDRGPD
RGPD
 
Découvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatiqueDécouvrir le RGPD de façon pragmatique
Découvrir le RGPD de façon pragmatique
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 

Similaire à Obligations RGPD : Comment-agir ?

Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Loïc Charpentier
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
Cyril Marsaud
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
Boris Clément
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Hapsis
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
polenumerique33
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
Inforsud Diffusion
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
TelecomValley
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
FrenchTechCentral
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
Jedha Bootcamp
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
ACCESS Group
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
COMPETITIC
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
David Blampain
 
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Patrick Bouillaud
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
Umanis
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
NP6
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Niji
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Tarn Tourisme
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
MostafaAITMEHDI
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Prof. Jacques Folon (Ph.D)
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
Converteo
 

Similaire à Obligations RGPD : Comment-agir ? (20)

Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PME
 
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
02 mdn2018 - table ronde rgpd - odette amann - henri de la motte rouge
 
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
RGPD - 2 ans plus tard - Où en est votre mise en conformité ?
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
ISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPDISDay 2018 - Atelier RGPD
ISDay 2018 - Atelier RGPD
 
SÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPDSÉCURITÉ DES DONNÉES & RGPD
SÉCURITÉ DES DONNÉES & RGPD
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
Comment ACCESS GROUP se prépare à la réglementation GDPR/RGPD ?
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic   gestion des données personnelles et obligations - numerique en e...Competitic   gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
Protection des données personnelles Se mettre en conformité : Pourquoi ? Comm...
 
GDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUEGDPR COMPLIANT : LE GUIDE PRATIQUE
GDPR COMPLIANT : LE GUIDE PRATIQUE
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
 
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
Souriez (?) #GDPR, #PrivacyByDesign, #PrivacyByDefault deviennent réalité !
 
Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019Atelier 8 - RGPD - Conférence Thierry Preel 2019
Atelier 8 - RGPD - Conférence Thierry Preel 2019
 
Rgpd sensibilisation fc vf
Rgpd sensibilisation fc vfRgpd sensibilisation fc vf
Rgpd sensibilisation fc vf
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
BAROMÈTRE RGPD
BAROMÈTRE RGPDBAROMÈTRE RGPD
BAROMÈTRE RGPD
 

Obligations RGPD : Comment-agir ?

  • 1. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018 ACTUALITES : LE RGPD : le nouveau casse-tete des entreprises 1- RGPD : Mais qu’est-ce que c’est ?? C’est Le Règlement Général sur la Protection des Données dit « RGPD »  Le but de ce Règlement : Garantir une meilleure maîtrise des données personnelles.  La Conséquence pour les Entreprises : Chaque entreprise, quelle que soit sa taille et son secteur d’activité, va devoir modifier ses réflexes existants sur le recueil, le traitement et la conservation des données personnelles, qu’elles soient numériques ou sous format papier.  La sanction en cas de non-respect : Elle peut aller jusqu’à 4% du Chiffre d’affaire annuel  Applicable à compter de quand : Le 25 mai 2018….. c’est-à-dire demain …. !! 2- Une donnée personnelle c’est quoi ? Une donnée personnelle est toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Directement, c’est-à-dire toutes informations sur : un nom, une adresse, un identifiant en ligne, un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, économique... d'une personne. Ex : Les données professionnelles d'une personne (telle que sa carte de visite) sont considérées comme des données personnelles. Indirectement, comme par exemple un matricule, numéro de sécurité social, empreinte digitale (etc..) ou par recoupements d’informations.
  • 2. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018 3- Qu’est-ce qu’un traitement de données personnelles ? C’est une opération portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, etc …) Exemple : tenue d’un fichier client, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier fournisseur, etc … Par contre un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données personnelles. 4- Comment faire pour passer à l’action ? Étape 1 : désigner un Délégué à la protection des données (DPO) Cette personne sera en charge de tout ce qui a trait aux données personnelles pour l’entreprise.  Obligatoire dans 2 situations : - Lorsque vos activités de base vous amènent à réaliser un suivi à grande échelle, régulier et systématique des personnes, - Lorsque vos activités de base vous amènent à traiter à grande échelle des données dites "sensibles" (orientation sexuelle, convictions religieuses, données biométriques, génétiques ou de santé, origine raciale ou ethnique, etc), ou relatives à des condamnations pénales et infractions.  Sinon vivement recommandé Il est possible de faire appel à un DPO externe. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou de fédérations professionnelles. Pour en savoir plus : « Dossier le délégué à la protection des données » sur le site de la CNIL. Étape 2 : établir un registre des données personnelles utilisées dans l'entreprise But : Faire une « photographie » des données personnelles collectées et traitées par l’entreprise, qu’elles le soient par voie informatique ou papier. De savoir quelles données sont utilisées et par quels services. Le registre peut être informatique ou papier. Dans ce registre, il faut créer une fiche pour chaque activité qui nécessite la collecte et le traitement de données, en précisant : l'objectif poursuivi ; les catégories de données utilisées ; qui a accès aux données ; la durée de conservatoire de ces données. Il existe un modèle sous format excel sur le site de la Cnil
  • 3. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018 Étape 3 : analyser les données du registre Il faut vérifier pour chaque traitement : - les circonstances de collecte des données : le consentement a-t- il été obtenu ? - l'information délivrée aux personnes faisant l'objet de la collecte et du traitement : les personnes ont- elles été informées lors de la collecte de la finalité du traitement de celles-ci et de leurs droits ?  La Cnil prépare des modèles de mentions d’informations pour les PME - la nature des données collectées au regard de la finalité : seules les données strictement nécessaires au traitement et à la finalité recherchée peuvent être collectées et traitées. Précisions de la Cnil : Pour les fichiers existants : les entreprises qui ont accompli une déclaration de conformité à la Norme Cnil relative aux fichiers clients-prospects et vente en ligne (dite Norme NS-048) ou autres normes relatives à la gestion des salariés (gestion administrative, badgeuse, gestion de flottes de véhicules, etc ..) n’auront pas, pendant 3 ans, à réaliser une étude d’impact. Étape 4 : mettre en place des mesures pour sécuriser les données et sensibiliser tous les salariés de l'entreprise Après avoir fait le registre il faut agir ! Comment ? Quelques pistes : - Informer les salariés des démarches en cours dans l’entreprise pour se conformer au RGPD  (La Cnil propose sur son site un modèle de courrier à l’attention des salariés) - Indiquer dans les documents de collecte notamment, la finalité de cette collecte et du traitement prévu et les droits des personnes  Des mentions d’informations seront bientôt proposées par la Cnil - Laisser à la personne la possibilité de s’opposer au traitement indiqué - - Indiquer les coordonnés de l’interlocuteur à contacter pour que la personne puisse faire valoir ses droits de modification et de suppression - - Prévoir un lien de désinscription à chaque newsletter envoyée - - Prévoir la sécurisation des locaux dans lesquels les données sont conservées - Etc
  • 4. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018 Étape 5 : donner l'accès à la donnée et permettre sa portabilité Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker et les transmettre facilement d'un système d'information à un autre, en vue de leur réutilisation à des fins personnelles. Étape 6 : mener une analyse d'impact relative à la protection des données (DPIA) pour certains traitements strictement définis Cette analyse est obligatoire dès lors qu'il y a combinaison de deux des critères suivants : - évaluation ou notation ; - décision automatisée avec effet juridique ou effet similaire significatif ; - surveillance systématique ; - données sensibles ou données à caractère hautement personnel ; - données personnelles traitées à grande échelle ; - croisement d'ensembles de données ; - données concernant des personnes vulnérables ; - usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ; - exclusion du bénéfice d'un droit, d'un service ou contrat. L'analyse d'impact permet d'évaluer, en particulier, l'origine, la nature, la particularité et la gravité du risque pour les droits et libertés des personnes concernées. La Cnil met un logiciel dédié à disposition : www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil Étape 7 : programmer la suppression des données Le RGPD impose de procéder à la suppression des données personnelles dès lors qu'elles ne sont plus nécessaires au regard de la finalité en application du principe de durée de conservation limité en prévoyant des délais de suppression des données, en fonction de chaque fichier.
  • 5. BPERC - 44 rue blanche - 75009 PARIS – 01.49.70.77.77 Actualités Mai 2018 Étape 8 : réagir immédiatement en cas d'atteinte / de risque d'atteinte aux données personnelles Dès lors qu'une violation de données est portée à la connaissance de l'entreprise et que celle-ci a un impact sur des données personnelles, la CNIL doit être informée dans les 72h. Pour en savoir plus ou pour vous aider :  « Guide sécurité des données personnelles » sur le site internet de la CNIL  En cas de difficultés (sinistre, attaque informatique,, etc ..) le site gouvernementale www.cybermalveillance.gouv.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés. Nous restons naturellement à votre entière disposition pour tout complément d’information sur le sujet. Marilyne ROHOU Frédéric LEPRETRE Laïaché LAMRANI Expert-comptable associée Expert-comptable associé Expert-comptable associé Commissaire aux comptes Master Droit des Affaires