Le Règlement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain. Cette règlementation va avoir un impact pour toutes les entreprises, y compris les PME et TPE. Il est donc fortement recommandé de prendre toutes les mesures utiles pour se mettre en conformité avec les nouvelles règles qui seront bientôt applicables.
La CNIL et BPI ont déjà publié un guide pratique pour aider les entrepreneurs à s’adapter à la nouvelle règlementation.
Voici l'essentiel de ce qu'il faut retenir !
Conférence Arenaire - Salon Pack & Gift -17.06.2015
Protection des données personnelles - RGPD - l'essentiel
1.
2. Le Règlement Européen Général sur
la Protection des Données (RGPD)
L’essentiel
Mai 2018
3. LIENS UTILES
Site de la CNIL
(https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-
les-professionnels)
Guide pratique établi par la CNIL et le BPI
(https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf)
4. Objectifs et enjeux du RGPD
Quelques précisions utiles
1. Qu’est ce que le traitement des données ?
2. Qu’est qu’une donnée personnelle ?
3. Droit des personnes dont les données sont collectées ?
Qui est concerné par le RGPD ?
Quelles sont les données concernées?
Quels changements apporte le RGPD ?
Comment se conformer au RGPD ?
1. Tenir un registre des traitements
2. Informer les personnes concernées
3. Respecter les droits des personnes concernées
4. Sécuriser les données
5. Désigner un Délégué à la protection des données (DPO)
Cas des données à risques
Transfert des données personnelles hors UE
Les risques encourus
APERÇU
5. LE RGPD : OBJECTIFS ET ENJEUX
• Harmonisation des règles au niveau de l’Union
Européenne
• Renforcement des droits des personnes
• Responsabilisation des acteurs traitant de données
personnelles
→ Entrée en vigueur le 25 mai 2018
6. QUELQUES PRÉCISIONS UTILES : QU’EST-CE QUE
LE TRAITEMENT DE DONNÉES PERSONNELLES ?
• Toute opération portant sur des données personnelles
• Quelque soit le procédé utilisé : collecte, enregistrement,
modification, extraction, communication, diffusion ….
• Quelque soit le format : numérique, papier…
→ Exemples : collecte/enregistrement de données personnelles pour l’envoi de
newsletters, la livraison d’une commande, l’embauche d’un salarié…
7. QUELQUES PRÉCISIONS UTILES : QU’EST-CE
QU’UNE DONNÉE PERSONNELLE ?
Toute information se rapportant :
•à une personne physique identifiée ou identifiable,
•que ce soit directement ou indirectement,
•à partir d’une seule donnée ou d’un croisement de
données
→ Exemples : nom, prénom, numéro de téléphone, données culturelles,
données génétiques, données bancaires …
8. QUELQUES PRÉCISIONS UTILES : DROITS DES
PERSONNES DONT LES DONNÉES SONT
COLLECTÉES
• Droit d’opposition (par ex. à la réutilisation des données
à des fins commerciales)
• Droit d’accès et de rectification
• Droit d’effacement
• Droit à la portabilité (nouveauté du RGPD)
• Droit à la limitation du traitement
9. Tous les organismes qui traitent des données personnelles
et les sous-traitants dès lors qu’ils :
-sont établis sur le territoire de l’Union européenne
OU
-ciblent directement des résidents de l’Union européenne
LE RGPD : QUI EST CONCERNÉ ?
10. Toutes les données dont :
-les données des consommateurs ;
-les données des salariés (embauche, évaluation,
rémunération, gestion…) ;
-les données des partenaires (sous-traitant, visiteurs,
prestataires)
LE RGPD : LES DONNÉES CONCERNÉES
11. LE RGPD : QUELS CHANGEMENTS ?
• Allègement des formalités administratives (not.,
disparition de la déclaration/autorisation préalable
auprès de la CNIL sauf cas particulier)
• Responsabilisation des acteurs du traitement
• Sanctions renforcées
12. COMMENT SE CONFORMER AU RGPD ?
1. Tenir un registre des traitements
2. Informer les personnes concernées
3. Respecter les droits des personnes concernées
4. Sécuriser les données
5. Désigner un Délégué à la protection des données
(DPO)
13. 1. Tenir un registre des traitements
• Le traitement ne doit porter que sur les données
pertinentes par rapport à l’objectif pour lequel elles sont
collectées (principe de minimisation)
• Le registre listant tous les traitements de données mis
en œuvre par l’entreprise doit être tenu à jour
• Pour cela, les activités principales de l’entreprise qui
nécessitent un traitement de données doivent être
identifiées
→ Exemples : gestion des clients, gestion des commandes et livraisons,
recrutement, gestion de la paie, …)
14. 1. Tenir un registre des traitements
• Créer une fiche
détaillée pour
chaque activité
précisant les
éléments suivants
la finalité du traitement
les types de données traitées ;
les personnes ayant accès aux données
la durée de conservation des données
les transferts éventuels avec l’origine et la
destination des données (transferts hors
UE)
→ Pour un modèle de registre, voir le site de la CNIL https://www.cnil.fr/fr/cartographier-vos-
traitements-de-donnees-personnelles
→ NB : il n’est pas nécessaire de mentionner les traitements ponctuels sur le registre
15. 2. Informer les personnes concernées
• A chaque collecte de données, indiquer :
- la finalité de la collecte ;
- le fondement juridique (consentement de la personne concernée
notamment pour l’utilisation des données à des fins de prospection
commerciale ; obligation légale ; obligation contractuelle…) ;
- le responsable du traitement et le destinataire des données ;
- la durée de conservation des données ;
- les droits des personnes concernées ;
- le cas échéant, l’existence d’un transfert de données hors UE
• Possibilité de renvoyer à une politique de confidentialité
16. 3. Respecter les droits des personnes concernées
• Donner la possibilité d’exercer effectivement leurs
droits
• Prévoir, par exemple, une adresse de messagerie
spécifique
• En interne, prévoir un processus permettant de
répondre rapidement aux demandes
17. 4. Sécuriser les données
• Prendre les mesures nécessaires pour assurer la sécurité
des données (logiciels, antivirus…)
• Signaler à la CNIL toute violation de données pouvant
présenter un risque pour les droits et libertés des personnes
concernées (piratage, divulgation, perte, destruction, accès
ou modification non autorisé…) dans les 72 heures de la
violation
• Informer les personnes concernées si le risque est élevé
pour leurs droits et libertés
18. 5. Désigner un délégué à la protection des données
(DPO) : quand ?
• Obligatoire pour :
- les organismes publics
- les entreprises dont l’activité les amène à réaliser un suivi
régulier et systématique des personnes ou à traiter à grande
échelle des données dites « sensibles » ou relatives à des
condamnations pénales et infractions
• Fortement recommandé pour les autres entreprises
• A tout le moins, désigner une personne en charge de la
mise en conformité au règlement européen
19. 5. Désigner un DPO : ses missions
- Informer et conseiller le responsable de traitement ou le
sous-traitant
- Contrôler le respect du RGPD et des lois relatives à la
protection des données
- Réaliser l’inventaire des traitements de données
- Coopérer avec l’autorité de contrôle
20. • Personnes traitant des données personnelles pour le
compte d’un autre organisme
Précisions relatives aux sous-traitants
• Obligations
spécifiques
Assurer un protection effective des données
Conseiller leurs clients sur la protection des
données
Tenir un registre des activités de traitements
réalisés pour le compte de leurs clients en plus du
registre concernant leur propre traitement
Prévoir un contrat avec une clause spécifique sur
la protection des données personnelles
21. •Vigilance particulière et sécurisation renforcée
•Les données à risques comprennent les données sensibles
(origine raciale ou ethnique ; opinions politiques ou
religieuses ; appartenance syndicale ; orientation sexuelle ;
santé ; génétique)
•Selon les cas, réaliser une analyse d’impact sur la
protection des données à risque avant le traitement des
données
•Consultation obligatoire de la CNIL lorsque l’analyse
d'impact indique que le risque serait élevé si le responsable
du traitement ne prend pas les mesures adéquates
CAS DES DONNÉES À RISQUE
22. TRANSFERT DE DONNÉES PERSONNELLES HORS
UE
La Commission a constaté que le
pays en question assure un niveau
de protection adéquat
La Commission a constaté que le
pays en question assure un niveau
de protection adéquat
Pas de décision de la CommissionPas de décision de la Commission
Pas de décision de la Commission
ni de garanties appropriées –
Dérogations pour des cas
particuliers
Pas de décision de la Commission
ni de garanties appropriées –
Dérogations pour des cas
particuliers
Transfert hors UE
possible sans
autorisation
(liste des pays reconnus
par la Commission
européenne disponible
sur le site de la CNIL :
https://www.cnil.fr/fr/l
a-protection-des-
donnees-dans-le-
monde)
Transfert hors UE
possible sans
autorisation
(liste des pays reconnus
par la Commission
européenne disponible
sur le site de la CNIL :
https://www.cnil.fr/fr/l
a-protection-des-
donnees-dans-le-
monde)
Transfert hors UE
possible:
- Selon les cas, avec ou
sans autorisation et ;
- Uniquement si des
garanties appropriées ont
été prévues et ;
- A la condition que les
personnes concernées
disposent de droits
opposables et de voies de
droit effectives
Transfert hors UE
possible:
- Selon les cas, avec ou
sans autorisation et ;
- Uniquement si des
garanties appropriées ont
été prévues et ;
- A la condition que les
personnes concernées
disposent de droits
opposables et de voies de
droit effectives
Transfert hors UE possible
notamment si :
- Consentement explicite de
la personne concernée,
après l’avoir informée des
risques du transfert ;
- Transfert nécessaire à
l'exécution d'un contrat
entre la personne
concernée et le
responsable du traitement ;
- Transfert nécessaire à
l'exercice de droits en
justice
Transfert hors UE possible
notamment si :
- Consentement explicite de
la personne concernée,
après l’avoir informée des
risques du transfert ;
- Transfert nécessaire à
l'exécution d'un contrat
entre la personne
concernée et le
responsable du traitement ;
- Transfert nécessaire à
l'exercice de droits en
justice
23. •Vérifier que le pays dispose d’une loi relative à la
protection (vérifier notamment la liste des pays
reconnus par la Commission européenne)
•A défaut, encadrer les transferts (adoption d’un code
de conduite ; insertion de clauses contractuelles ;
faire approuver des règles d'entreprise
contraignantes par la CNIL…)
TRANSFERT DE DONNÉES PERSONNELLES HORS
UE
24. •Sanctions administratives graduées et renforcées :
avertissement; suspension des flux de données; injonction de
rectifier ou effacer les données; retrait de certification…
•Amendes administratives : selon la catégorie d’infraction,
jusqu’à 4% du chiffres d’affaires annuel mondial pour les
entreprises
•Sanctions pénales pouvant se cumuler aux sanctions
administratives en cas de non désignation d’un DPO lorsqu’il
est obligatoire, d’entrave à l’action de la CNIL…
LES RISQUES ENCOURUS
25. 33 rue Galilée, 75116
PARIS
T +33 (0)1 44 43 53 44
F +33 (0)1 72 69 06 82
avocats@cabinet-
arenaire.com
www.cabinet-
arenaire.com