Vademecum pour la mise en conformité au RGPD avant le 25 mai 2018 (accountability)

Attention, ouverture dans une nouvelle fenêtre. PDF Array Imprimer Array Envoyer

Le Règlement 2016/679/QE du Parlement Européen et du Conseil en date du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, sera applicable à compter du 25 mai 2018.

Il met en place une logique de responsabilisation des acteurs des traitements, avec la suppression des formalités préalables auprès de la CNIL, qui se voit dotée de pouvoirs de sanctions administratives dissuasifs, outre l’arsenal pénal déjà existant.

La loi Informatique et Liberté sera à nouveau modifiée pour s’adapter au RGPD, ce qui rendra difficile sa lisibilité.
Les entreprises devront suivre les précisions qui seront introduites par le législateur, ainsi que par les décrets d’application postérieurs.

Le R.G.P.D. a pour philosophie de faire intégrer la protection des données à caractère personnel dans l’A.D.N de chaque projet de l’entreprise et à chaque utilisation des outils permettant de traiter les données à caractère personnel, afin que celle-ci devienne partie intégrante  de la culture de l’entreprise, ou « privacy by design ».

Le plus haut niveau de protection de la vie privée des personnes physiques doit être mis en œuvre par défaut ou « privacy by default ».

Ce vadémécum a pour objet d’aider les chefs des petites et moyennes entreprises, artisans et professions libérales, à mieux appréhender leur nouveau rôle dans la protection des données à caractère personnel.

Tout comme les grandes entreprises, ils doivent mettre en œuvre l’obligation de respecter le RGPD et pouvoir démontrer à l’autorité de contrôle (CNIL), que cette obligation est respectée, ce qui est désigné sous le terme d’ « accountability ».


Comment procéder ?

I) Identifier les données à caractère personnel des personnes physiques qui sont collectées dans les services de votre entreprise :

Le R.G.P.D. ne s’applique pas aux traitements des données concernant les personnes morales, leur dénomination, leur forme juridique leurs coordonnées, ni aux traitements mis en œuvre par des personnes physiques dans le cadre d’activités strictement personnelles et domestiques.

Le R.G.P.D. est applicable aux traitements des données à caractère personnel des personnes physiques, collectées et/ou traitées par les acteurs économiques, telles que les entreprises, auto-entrepreneurs, artisans, professions libérales, associations, syndics etc.

Ces données peuvent être celles de consommateurs, de membres, de clients, patients, de cocontractants, mais également de salariés, collaborateurs ou responsables d’entreprises avec lesquels vous êtes en relation.

Les données à caractère personnel sont par exemple : les nom, prénoms de la personne, son adresse postale, ses numéros de téléphone, adresses mail, coordonnées bancaires, date et lieu de naissance, nationalité, fonction… ; toute information qui permet d’identifier directement ou indirectement la personne. Les données de géolocalisation, les données qui identifient la personne, générées par un logiciel ou un système d’exploitation, constituent également des données à caractère personnel.

Une vigilance particulière concerne la collecte de données dites « sensibles », qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé, les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

En effet, les traitements de ces données sont en principe interdits sauf dérogations prévues par l’article 9 paragraphe 2 et 3 du R.G.P.D.

Par exemple et sans exhaustivité, le traitement de données sensibles est autorisé :

  • si la personne concernée a donné son consentement explicite pour une ou plusieurs finalités du traitement,
  • si elle n’a pas été en mesure de donner son consentement, pour la sauvegarde de ses intérêts vitaux ou ceux d’une autre personne physique,
  • s’il est nécessaire pour l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de protection sociale, de sécurité sociale, dans la mesure où le traitement est autorisé par l’état,
  • si le traitement est réalisé par une association ou tout organisme sans but lucratif, sous certaines conditions de non divulgation,
  • mais encore pour l’exercice des droits de la défense ou à la défense d’un droit en justice,
  • si le traitement porte sur des données qui sont manifestement rendues publiques par la personne concernée,
  • si ces données sont traitées par un professionnel de santé soumis à une obligation de secret professionnel

Si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées, la mise en œuvre du traitement nécessite préalablement une analyse d’impact, et éventuellement une consultation préalable de l’autorité de contrôle. (Articles 35 et 36 du RGPD.

II) Répertorier les traitements selon leur finalité :

Il convient de rappeler que le R.G.P.D. est applicable même si les fichiers de données à caractère personnel que vous utilisez ne sont pas automatisés ni informatisés.

La tenue d’un répertoire ou d’un annuaire, papier ou informatisé, constitue un traitement de données à caractère personnel.

Un logiciel de gestion de clients constitue une base de données qui  permet de collecter des données personnelles.

La gestion du personnel dans une entreprise constitue également un traitement des données à caractère personnel des salariés.

Les sites internet collectent également des données à caractère personnel dans le cas, par exemple, de site marchand, ou dans le cas d’une messagerie.

En pratique, chaque service de l’entreprise doit être consulté afin d’identifier le traitement des données mis en œuvre.

Il peut donc y avoir plusieurs traitements au sein d’une même entreprise.

Le site de la CNIL identifie de nombreux traitements, dans le cadre des dispenses et des déclarations suivant les normes simplifiées, qui correspondent à 80 % des traitements.
Il est conseillé de se référer à ces exemples afin de vous aider à identifier les traitements.

Afin de respecter les objectifs du R.G.P.D. il convient de respecter 6 règles fondamentales pour la mise en œuvre d’un traitement :

  • collecter les données de manière licite loyale et transparente, et informer les personnes concernées de leurs droits.
  • collecter les données pour des finalités de traitement déterminées, explicites et légitimes.
  • Il faut limiter la collecte à ce qui est strictement nécessaire à la finalité du traitement. (Article 5 c))
  • les données doivent être exactes et tenues à jour, et permettre l’identification de la personne physique. Article 5 d) et e)), ce qui permettra l’exercice des droits par les personnes concernées.
  • Les données doivent être conservées pour une durée limitée, ce qui est le pendant du « droit à l’oubli ».
  • Le traitement doit garantir la sécurité des données. En cas de violation des règles de sécurité, le responsable du traitement doit le notifier dans les 72 heures à la CNIL et informer la personne concernée.

III) Définir les finalités principales de chaque traitement :

Les données à caractère personnel ne peuvent être collectées que pour une finalité déterminée, explicite et légitime.

Si des données à caractère personnel ont été collectées pour une finalité particulière, le changement de finalité de traitement est très délicat s’il ne repose pas sur le consentement de la personne concernée.
Le responsable du traitement doit déterminer s’il est compatible avec la finalité initiale, en tenant compte d’un certain nombre de critères énumérés à l’article 6 § 4 du R.G.P.D.

Pour identifier les finalités de vos traitements, il est conseillé de se référer aux dispenses et aux normes simplifiées détaillées sur le site de la CNIL, qui donnent un catalogue assez complet  des finalités.
Par exemple :

  • La norme simplifiée n°NS-048 : fichier clients, prospect et vente en ligne, détaille l’ensemble des finalités concernant les opérations relatives à la gestion des clients, la prospection, l’élaboration de statistiques commerciales,
  • La norme simplifiée n°53 concerne les laboratoires d’analyses médicales.
  • La norme simplifiée n°50 concerne le cabinet médical et paramédical.
  • La norme simplifiée NS-021 pour la gestion des biens immobiliers concerne la gestion des loyers, la gestion des sociétés civiles immobilières, les syndicats de copropriété et associations syndicales libres, la gestion des mandats de gérance…

IV) Vérifier le caractère licite des traitements qui sont ou vont être mis en œuvre par votre entreprise

La licéité de la mise en œuvre des traitements de données personnelles nécessite pour chacun des traitements :

  • Soit que vous ayez recueilli le consentement des personnes concernées, ce qui est le cas pour un site internet marchand ou de messagerie.
  • Soit que le traitement soit nécessaire à l’exécution d’un contrat auquel la personne concernée est partie,
  • Soit que le traitement est nécessaire au respect d’une obligation légale à laquelle vous êtes soumis,
  • Soit que le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique,
  • Soit que le traitement est nécessaire aux intérêts légitimes qui sont poursuivis par votre entreprise ou par un tiers, à moins que ne prévalent les intérêts ou libertés et droit fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne est un enfant.

Par conséquent, si la personne concernée a consenti de manière expresse à la collecte de ses données, dans tout formulaire ou par la signature électronique, ou lorsqu’elle a conclu un contrat avec votre entreprise comportant une clause relative à son consentement et à son information sur ses données personnelles, vous avez l’assurance que votre traitement a un caractère licite.

Avant l’entrée en vigueur du R.G.P.D., la licéité du traitement répond également à une exigence de déclaration auprès de la CNIL.
Une cession de fichier clients prospects qui n’a pas été déclaré à la CNIL est jugée, par la jurisprudence, hors du commerce et donc nulle, pour défaut de caractère licite.

A compter du 25 mai 2018, les formalités préalables auprès de la CNIL vont disparaître.
Cela ne signifie cependant pas que les traitements qui ont été mis en œuvre antérieurement et sans déclaration préalable, deviendront licites.

V) Vérifier la traçabilité de vos procédures afin de prouver le consentement et l’information qui a été donnée aux personnes concernées

Si la licéité de votre traitement repose sur le consentement de la personne concernée, ou si le consentement est une condition de la légalité du traitement (par exemple pour les données sensibles article 9 du RGPD, pour un traitement évaluant certains aspects personnels de la personne et produisant des décisions automatisées la concernant, type « profilage », article 22 du RGPD ; pour le transfert vers des pays tiers sans adéquation article 49 du RGPD), il convient d’être particulièrement vigilent concernant la forme du consentement.

En effet, le consentement doit être explicite et doit résulter d’une déclaration ou d’un acte positif clair, reflétant  le fait que la personne a été informée et qu’elle dispose du libre choix de consentir ou non à la collecte. La personne concernée doit pouvoir, en effet, à tout moment retirer son consentement, si le traitement n’est pas nécessaire à l’exécution d’un contrat.

Le consentement à la collecte doit être demandé de manière distincte de l’acceptation des conditions générales de vente (CGV) et du consentement à un contrat.
Le renvoi à des conditions générales de vente est par conséquent inapproprié et insuffisant.

Le consentement peut résulter d’un document écrit, daté et signé, et conservé par le responsable du traitement qui doit pouvoir en justifier.

Le consentement peut également être donné, dans le cadre d’un environnement numérique, par le fait de cocher une case, assimilable à un consentement sous forme numérique, dans la mesure où la traçabilité de ce consentement est conservée par le responsable du traitement, afin de pouvoir justifier du respect de ses obligations.

La plupart des cookies nécessitent le consentement de la personne concernée, notamment les cookies liés aux opérations relatives à la publicité ; des cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux lorsqu'ils collectent des données personnelles sans consentement des personnes concernées ; et de certains cookies de mesure d'audience.
L’internaute qui se rend sur votre site doit être informé, par l'apparition d'un bandeau :

  • des finalités précises des cookies utilisés ;
  • de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Tant que la personne n’a pas donné son consentement, ou n’a pas poursuivi sa navigation, ces témoins de connections ou traceurs, ne peuvent être déposés ou lus sur son terminal.

Si les consentements recueillis avant l’entrée en vigueur du R.G.P.D., en vertu de la Directive 95/46/CE, ne sont pas conformes aux conditions énoncées par le R.G.P.D., ils devront être redemandés aux personnes concernées.

VI) Informer les personnes concernées :

Le R.G.P.D. prévoit une obligation d’information lors de la collecte des données à caractère personnel par le responsable du traitement dans  son article 13.
Dans la mesure où de nouveaux droits sont mis en œuvre, par rapport l’article 32 de la loi informatique et liberté, l’information doit être donnée aux personnes concernées, par des moyens appropriés, pour être en mesure de justifier que vous avez délivré une information complète.

Les informations concernent :

  • L’identité et les coordonnées du responsable du traitement,
  • L’identité du Délégué à la Protection des données, DPO, le cas échéant,
  • Les finalités du traitement, et la base juridique du traitement (consentement, exécution d’un contrat, exécution d’une mission de service public, intérêt légitime du responsable du traitement)
  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, en l’absence d’un contrat ou du consentement exprès à la collecte,
  • Les destinataires ou les catégories de destinataires des données à caractère personnel,
  • Le cas échéant, le fait que les données à caractère personnel doivent faire l’objet d’un transfert vers un pays tiers, avec des informations spécifiques sur l’existence ou non de décision d’adéquation, et le cas échéant, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ;
  • La durée de conservation des données à caractère personnel ou les critères utilisés pour déterminer cette durée,
  • L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel (article 15 du RGPD), leur rectification (article 16 du RGPD), leur effacement  qui correspond à un « droit à l’oubli » (article 17 du RGPD) ou une limitation du traitement relatif à la personne concernée (article 18 du RGPD), ou le droit de s’opposer au traitement (article 21 du RGPD) et le droit à la portabilité des données (article 20 du RGPD).
  • Lorsque la personne a donné son consentement au traitement, le droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement,
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle,
  • Si la fourniture des données est exigée par un règlement ou le contrat, les conséquences de la non-fourniture de ces données par la personne concernée.
  • Si le responsable du traitement à l’intention d’utiliser les données pour une autre finalité, des informations au sujet de cette autre finalité.

L’article 14 précise les informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (collecte indirecte).
Il s’agit, par exemple de données collectées dans des conditions licites par une entreprise A, qui les transmet à une entreprise B.
Le responsable du traitement B qui n’est pas à l’origine de la collecte, doit fournir les informations requises à la personne concernée par les données personnelles, au plus tard dans un délai de un mois  après avoir obtenu les données, et si les données sont utilisées à des fins de communication, au plus tard au moment de la première communication à ladite personne.
Outre les informations prévues en cas de collecte directe, le responsable du traitement devra également indiquer la source d’où proviennent les données à caractère personnel et, le cas échéant, les mentions indiquant qu’elles sont issues ou non de sources accessibles au public.
Le responsable du traitement a également des obligations lorsqu’il a l’intention d’effectuer un traitement ultérieur pour une autre finalité, l’information doit être donnée sur cette autre finalité.
Des dérogations sont prévues concernant la fourniture de ces informations, en cas de collecte indirecte, à certaines conditions très détaillées par l’article 14 & 5, et notamment, s’il est démontré que

  • la personne concernée connaît déjà ces informations,
  • ou que la fourniture de ces informations se révèle impossible ou exigerait des efforts disproportionnés, ou compromettraient gravement la réalisation des objectifs du traitement,
  • ou que la communication est expressément prévue par le droit de l’Etat membre,
  • ou si les données doivent rester confidentielles en vertu d’une obligation de secret professionnel.

Ces informations doivent être communiquées en des termes clairs, concis et aisément compréhensibles, au moment de la collecte

Elles doivent être fournies à la personne concernée par écrit ou par d’autres moyens, y compris par voie électronique.

Les modalités d’informations régies par l’article 90 du décret n° 2005-1309 du 20 octobre 2005, en application de la Loi informatique et liberté, précisent que l’information doit être portée « directement » à la connaissance de la personne concernée » soit sur le support de la collecte, soit, à défaut, sur un document préalablement porté à la connaissance de la personne, en caractère lisibles. Lorsque l’information est donnée par voie d’affichage, il est indiqué à l’intéressé qu’il peut recevoir ces informations sur support écrit.

Par exemple la mention d’information peut figurer au bas du document concernant la collecte, ou doit être très facilement accessible.

Si la collecte est opérée oralement, à distance, il est donné lecture de ces informations, en  indiquant aux personnes concernées qu’elles peuvent sur simple demande recevoir, par écrit, ces informations.

Il conviendra de mettre à jour l’ensemble des contrats avec les personnes concernées, qui devront prévoir des mentions spécifiques concernant les données personnelles, avec l’information prévue à l’article 14.

Une information spécifique doit être donnée en ce qui concerne les cookies sur les sites internet.

VII) Mettre en place la gestion des droits :

Le responsable du traitement a des obligations en ce qui concerne la gestion des droits d’accès, de rectification, d’effacement, de limitation, d’opposition, ou de portabilité.

Il doit prévoir un accès gratuit et facile  de la personne concernée, avec la mise en place de procédures de traitement des demandes.

Il est recommandé de prévoir plusieurs moyens de contact, téléphone, adresse électronique et/ou postale, et si possible de fournir les moyens de présenter une demande par voie électronique, lorsque les données font l’objet d’un traitement électronique.

La réponse doit intervenir dans un délai d’un mois, à compter de la réception de la demande.
Le délai peut être prorogé à deux mois compte tenu de la complexité et du nombre de demandes, à condition d’informer la personne concernée sur les motifs du report.

Le responsable du traitement peut, en cas de doute raisonnable sur l’identité de la personne concernée, demander des informations pour confirmer l’identité de la personne concernée.

Ainsi le responsable du traitement doit :

  • indiquer les mesures prises suite à la demande, dans un délai d’un mois
  • indiquer les motifs de la prolongation de délai à deux mois, pour répondre.
  • Indiquer les motifs de son inaction et la possibilité d’introduire une réclamation auprès de l’autorité de contrôle et de former un recours juridictionnel.

Il est recommandé de prévoir un processus de gestion fiable de la gestion des réclamations avec  les différentes  réponses possibles en fonction des demandes.

Le non-respect de cette obligation est passible d’une amende allant jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, s’il s’agit d’une entreprise.

VIII) Identifier la durée strictement nécessaire pour la conservation des données :

Les données personnelles ne peuvent faire l’objet d’un traitement que pour une durée déterminée. Cette durée devra être explicitée dans le cadre de l’information donnée aux personnes concernées.
Lorsqu’il n’est pas possible d’indiquer avec précision la date, il convient d’énumérer les critères utilisés pour déterminer cette durée.
Il peut être indiqué, par exemple : « Pour la durée nécessaire à l’exécution du contrat et au-delà pour la durée nécessaire à l’exercice de toute action judiciaire susceptible d’être engagée entre les parties, à raison de la conclusion, de l’exécution ou de la fin du contrat .»

En dehors des hypothèses où il existe une obligation d’archivage et de conservation des données sur le plan légal, les données qui ne présentent plus d’intérêt doivent être supprimées sans délai.

Dans le cas d’un dispositif de vidéo-surveillance, la conservation des images ne peut excéder un mois.

Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.
Les données collectées par les cookies ne peuvent être conservées au-delà de 13 mois.

IX) Identifier les tiers auxquels vous êtes autorisé à transmettre ces données :

Parmi les tiers figurent les destinataires ou catégories de destinataires des données à caractère personnel qui sont autorisés à recevoir ces données.
Ces destinataires doivent faire l’objet d’une information précise lors de la collecte des données auprès des personnes concernées.
Ces destinataires peuvent être des mandataires, avocats, experts-comptables, huissiers de justice.
Il peut s’agir également de sous-traitants.

Il convient d’être particulièrement vigilant quant aux transferts de données personnelles et de les encadrer juridiquement.
En particulier, il faut vérifier, dans les contrats, que les données ne fassent pas l’objet d’un transfert en dehors de l’Union Européenne.
A l’intérieur de l’Union Européenne, le libre transfert des données est la règle, afin de faciliter le bon fonctionnement du marché intérieur.

A l’extérieur de l’Union Européenne, les transferts sont limités.

  • Les transferts fondés sur des décisions d’adéquation permettent la libre circulation des données à partir de l’Union Européenne. Il s’agit de pays destinataires qui ont été reconnus adéquats aux transferts par l’Union Européenne.

La Commission Européenne a adopté des décisions d’adéquation notamment pour le CANADA, L’ARGENTINE, ISRAËL, GERSEY, LA NOUVELLE ZELANDE, L’URUGUAY, LA SUISSE…
Depuis le 1er août 2016, le « Privacy shield » est entré en vigueur.
Il est donc possible de s’y référer pour transférer des données personnelles vers les USA, à condition que l’entreprise destinataire des données se soit préalablement inscrite sur le registre de l’administration américaine (mécanisme d’auto-certification pour les entreprises établies aux États-Unis reconnu par la Commission Européenne comme offrant un niveau de protection adéquat aux données à caractère personnel).

  • En l’absence de décision d’adéquation, les transferts vers les pays tiers peuvent se fonder sur d’autres mécanismes, tels que les clauses contractuelles types ou les règles d’entreprise contraignantes (R.G.P.D. art. 45 § 1 et art. 46)

X) Vérifier que tous les contrats des sous-traitants respectent les obligations du  R.G.P.D. :

En votre qualité de responsable de traitements, vous ne devez faire appel qu’à des sous-traitants qui fournissent des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées, de manière à ce que le traitement sous-traité réponde aux exigences du R.G.P.D. (art.28)

Le R.G.P.D. impose au responsable du traitement de signer avec chacun de ses sous-traitants un contrat écrit comprenant des mentions obligatoires :

  • l’objet,
  • la durée,
  • la nature et la finalité du traitement,
  • le type de données à caractère personnel,
  • les catégories de personnes concernées,
  • les droits et obligations du responsable du traitement.

Le contrat est encadré juridiquement par le R.G.P.D. (art.28 paragraphe 3 a)à h))

Il convient donc d’auditer les contrats des sous-traitants, afin de vérifier leur conformité.

Le sous-traitant doit veiller au respect des obligations qui lui sont imposées par le donneur d’ordres concernant le traitement des données personnelles, et notamment en ce qui concerne les transferts de données vers un pays tiers.

Il s’engage à respecter la confidentialité et les mesures de sécurité requises en application de l’article 32.
La sous-traitance du sous-traitant est en principe interdite, sauf autorisation écrite et préalable du responsable du traitement.

Le sous-traitant doit aider le responsable du traitement dans l’exécution de ses obligations et met à sa disposition toutes les informations nécessaires pour démontrer qu’il a bien respecté ses obligations, notamment dans le cadre d’audits ou d’inspections.

Le sous-traitant peut être tenu pour responsable s’il n’a pas respecté les obligations prévues par le R.G.P.D. ou s’il a agi en dehors des instructions licites du responsable du traitement. (art.8)

XI) Établir un registre des traitements :

La tenue d’un registre des traitements n’est pas obligatoire pour les entreprises ou organisations comptant moins de 250 employés, sauf dans trois cas : (article 30.5)

  • Si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées.( risques de dommages à la personne, sur le plan de son identité, de sa réputation, de la perte de confidentialité des données, risques économiques ou sociaux importants…)
  • Si le traitement n’est pas occasionnel, ce point méritant d’être éclairci.
  • S’il porte sur certaines catégories de données (données sensibles ou données relatives à des condamnations pénales et à des infractions).( Médecins, Avocats…)

Toutefois, le registre des traitements peut s’avérer être un outil précieux pour l’entreprise, au regard de la responsabilité qui pèse sur elle concernant les traitements de données.

Il permet d’identifier précisément les traitements, leur finalité, les catégories de personnes concernées et les catégories de données personnelles, les destinataires des données, si ces données font l’objet d’un transfert vers un pays tiers, les délais prévus pour l’effacement, la description des mesures de sécurité techniques et organisationnelles.
Le sous-traitant a également des obligations de tenue de registre des traitements pour le compte du responsable du traitement.

XII) Désigner un D.P.O ?

Le Délégué à la Protection des Données (D.P.O.) est une personne qui est désignée en interne, salariée de l’entreprise, ou extérieure à l’entreprise, et qui a vocation à être un véritable chef d’orchestre de la conformité au R.G.P.D.

Le D.P.O. n’est obligatoire que lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle, au regard, par exemple,  du  nombre de personnes concernées, et du volume des données , l’étendue géographique du traitement, ou que les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales ou à des infractions. (Par exemple, le traitement de données patients par un hôpital, le traitement de données personnelles par un moteur de recherche, le traitement de données clients par une Compagnie d’assurance.)

S’il est désigné en interne, le D.P.O. peut exécuter d’autres missions et tâches, mais celles-ci ne doivent pas être source de conflit d’intérêt.
Le D.P.O. ne doit recevoir aucune instruction du dirigeant en ce qui concerne l’exercice de sa mission, et ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
Il est soumis au secret professionnel et ses coordonnées sont publiques. Il est enregistré auprès de la CNIL et est l’interlocuteur de la CNIL pour le responsable du traitement.

Le D.P.O. est à la fois un conseil du responsable du traitement, mais il contrôle le respect du R.G.P.D. et de la règlementation relative à la protection des données personnelles.
Il exécute les obligations pesant le responsable du traitement, telles que l’analyse d’impact relative à la protection des données sensibles, la tenue du registre des activités de traitement, la notification des violations des données, et la gestion des droits des personnes concernées.
Il analyse les risques et en fait le rapport au responsable du traitement.
Il est l’interlocuteur privilégié de l’autorité de contrôle qu’est la CNIL.

EN CONCLUSION :

Le R.G.P.D. responsabilise considérablement le responsable du traitement par une sorte d’autocontrôle, et le contraint à mettre en place des processus qui lui permettront d’être capable de rendre des comptes.

Le responsable du traitement va devoir être capable de tracer les données personnelles qu’il collecte de bout en bout, et de les protéger. Il doit également prendre en considération le fait que la collecte de données personnelles constitue un risque pour l’entreprise.

Les droits des personnes concernées par la collecte de leurs données personnelles s’en trouvent renforcés, avec de nouveaux droits et informations, permettant théoriquement de tracer la donnée sur tout son cycle, de la collecte à l’effacement.

Maître Caroline SITBON
Avocat au Barreau de PARIS
30/04/2018

L&S AVOCATS
89 Avenue de Villiers – 75017 PARIS
Tél. 01.40.53.87.87
Fax. 01.40.53.80.10
Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir.