1

PROTECTION DES

www.optimex-data.fr

Dans le cadre du Règlement Général sur la Protection des Données (RGPD), applicable à partir du 25 mai 2018

DONNÉES PERSONNELLES

LIVRE BLANC

Ce livre blanc a été conçu pour sensibiliser les professionnels et les citoyens à la protection des données à caractère personnel.

Son objectif principal est de présenter le cadre juridique en matière de protection des données.

Aussi, il indique la méthodologie utilisée pour détecter un traitement de données au sein d’un organisme (entreprises, secteur public et associations).

Ainsi, le Règlement Général sur la Protection des Données (RGPD) sera abordé et complété par des exemples concrets en fonction des organismes et de leurs services.

5

SOMMAIRE

Le RGPD et la protection des données

Les traitements de données et la méthodologie associée pour les reconnaître

6 - 12 14 - 20

Les droits des personnes et les obligations des organismes

Les mesures à mettre en œuvre et les avantages pour les organismes

22 - 23 24 - 27

76

Qu’est-ce que le RGPD ?

Le RGPD, c’est le Règlement Général sur la Protection des données, ou le Règlement (UE) 2016/679. Adopté en 2016, il est applicable à partir du 25 mai 2018

C’est une législation européenne qui prévoit un changement juridique majeur dans la protection des données personnelles

Il a pour but de permettre aux citoyens de retrouver la maîtrise de leurs données personnelles

Il impose une transparence et une vigilance accrues dans la gestion des données des organismes

Qui est concerné ?

Tous les organismes sont concernés mais un allègement des obligations existe pour les petites structures. Afin de connaître votre niveaud’implication, il faut regarder les critères suivants et étudier votre situation.

TAILLE DE L’ORGANISME

SECTEUR D’ACTIVITÉ

QUANTITÉ DE DONNÉES

Commerçant

Artisan

Industrie Cabinet d’expertise comptable

Editeur de logiciel informatiqueCentre de radiologie

Laboratoire pharmaceutique

Mairie

Communauté de commune

Prestataire informatique AssociationData center Régie publicitaire

Société de profilage

Hôpital Logement social

Marketing

Site marchand

Métropole

Multinationale

Grande associationTrès petite association

Sous-traitant

Opérateur téléphonique

9

Qu’est-ce qu’une donnée personnelle ?

IDENTITÉ

L’identité

La famille

L’âge

La date denaissance

Le statut marital

VIE PERSONNELLE

Les déplacements

Le numéro de téléphone

Les hobbies

Le domicileLa voiture

VIE PROFESSIO

NNELLE

Le lieu de travail

L’évolutionprofessionnelle Les CV

Les salaires

Le dossier des salariés

Une donnée à caractère personnel est, d’après le Règlement, « toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement »

11

Les comptes bancaires

Les cartes de crédit

Les fluctuations bancaires

Les moyens financiers

INFORMATIO

NS ÉCONOMIQUES

LOCALISATION

La vidéo surveillance Les badges

d’entrée

Le signal WiFi

La géolocalisation

INFRACTIONS

Le casier judiciaire

Les accidents

Les contraventions

Les condamnations

DONNÉES SENSIBLESLes empreintes

La religion

L’appartenance sexuelle

Le dossier médical

1

13

Et si mon organisme n’est pas en conformité au 25 mai 2018 ?

SOLUTIONS

Amendes administratives

20Md’€ OU

4% du C.A. annuel mondial

En tant que responsable de traitements, si je ne fais rien pour le 25 mai 2018, des risques lourds de sanctions vont peser sur mon organisme car des plaintes pourront être déposées par des citoyens, des associations de consommateurs ou émaner de conflits internes.

Former son personnel à la protection des données

Faire auditer ses traitements de données par un organisme indépendant

Désigner un délégué à la protection des données auprès de la CNIL ou un référent interne

Sanctions pénales

5 ans d’emprisonnement

300 000€ d’amendes

Comment reconnaître un traitement de données personnelles ?

1

3

Identifier les données personnelles

Déterminer la finalité du traitement

La première étape consiste à identifier les données personnelles utilisées au sein de l’organisme. Il est plus facile de reconnaître un traitement de données à caractère personnel en identifiant d’abord les données personnelles.

Pourquoi mon organisme fait ce traitement ? Quel est l’objectif de ce traitement ? Cette étape permet de rendre licite votre traitement de données. Par exemple, la finalité principale d’une caméra de surveillance, c’est la sécurité des biens et des personnes.

2

4

Lister les traitements de données

Garantir le droit des personnes

Posez-vous la question de l’usage de ces données. Qu’en faites-vous ? Exemple de traitements : la collecte, la modification, la consultation, l’utilisation, la transmission, le stockage et l’effacement de données.

L’information aux personnes est une obligation très importante prévue par le RGPD. Elle permet de démontrer la bonne foi et la transparence de l’organisme auprès du personnel, des clients, des usagers et des partenaires ou fournisseurs.

15

17

SERVICE MARKETING SERVICE

COMPTABILITÉ

Entreprise

CoordonnéesBancaires

RIB

Régler les salaires

Adapter les offres commerciales

AdressesE-mails

Clients/Prospects

Constitution d’un fichier ciblé

Numérisation des coordonnées bancaires

1

2

3

1

2

3Prospection commerciale

Gestion des paies des salariés

SERVICE INFORMATIQUE

SERVICE RELATIONS HUMAINES

Contacter la personne Lui proposer de nouvelles offresd’emploi

Candidatures CV

Lettre de motivation

Gérer le parc informatique

Adresses IP de chaque employé

Conservation des données de connexion

Enregistrement du CV et de la lettre de motivation dans une cvthèque

1

23

1

2

3Recrutement du personnel

Gestion du parc informatique

19

Service Public

COMMUNE

SERVICE PETITE ENFANCE

Identifiant unique utilisateurLieu de connexion

Date et heure de connexionDurée de connexion

Accès internet public pour les usagers

Gérer les accès, les logs et établir des statistiques

Nom Prénom Date de naissance

Carnet de santéQuotient familial

Sélectionner et inscrire les enfants au multi-accueil

Wi-Fi public

Fichier de la crèche

1

2

3

1

2

3

Constitution du dossier de pré-inscription aumulti-accueil

SERVICE CULTURE

SERVICE COMMUNICATION

Photos des manifestations du CCAS

Partage des photos sur les réseaux sociaux

Communiquer sur les événements du CCAS

Données personnelles des familles, des élèves et des professeurs

Collecte et stockage des données (identités etdonnées personnelles)

Gérer les inscriptions et le suivi des enfants de l’école des services associatifs (cours de danse)

Réseaux sociaux

Inscription à la danse

1 1

2 2

3 3

Association

Communiquer et échanger avec les adhérents sur les actualités de l’association

Enregistrement, consultation et utilisation des données des adhérents

Nom et Prénom Adresse mail

Informations bancaires

FICHIER DONATEUR

ADHÉSION À UNE ASSOCIATION

Recevoir des dons pour l’association

Collecte, utilisation et suppression des données bancaires

Newsletter

Dons au bénéfice de l’association

1

2

3

1

3

2

Association

21

22

Je peux demander l’accès à mes données ainsi que des informations supplémentaires concernant le traitement associé à mes données

Droit d’accès

LES DROITS EXISTANTS

Quels droits pour les citoyens ?

Droit d’opposition

Droit de rectificationJe peux m’opposer à

certains traitements en raison de ma situation

particulière. Je peux, par exemple,

m’opposer à des traitements

effectués à des fins de

prospection, y compris le

profilage

Je peux demander la rectification de mes données si elles sont inexactes

Je peux demander l’effacement de mes

données dans plusieurs cas prévus par le RGPD, notamment

lorsque je retire mon consentement

Droit à l’effacement

(droit à l’oubli)

LES NOUVEAUX DROITS

Droit à la portabilité des données

Je peux facilement télécharger mes données et

les transmettre d’un organisme à un autre.

25

Au sein de chaque

service

Quelles mesures faut-il mettre en œuvre ?

Diffusion d’une culture de la protection des données

Identification les nouveaux traitements de données

Dialogue avec le DPO (relais interne dans chaque service)

Sur le site Internet

Formation des responsables de service et sensibilisation du

personnel

Tenue d’un registre des traitements

Point de contact avec la CNIL (DPO ou référent)

Au sein de l’organisation

Respect des principes du RGPD

Sécurité informatique

Procédures (conformité, étude d’impact, notification faille,

demande de droits, etc.)

Mentions légales

Conditions générales de

vente

Politique de confidentialité

27

Quels avantages pour l’organisme ?

Grâce à la protection des données, votre organisme respecte la vie privée de son personnel, de ses usagers, clients et partenaires. Il dégage alors des valeurs exemplaires d’humanisme et de bienveillance.

En protégeant les données personnelles, votre organisme réduit les risques de fuite de données et agrandit la confidentialité et la sécurité des données qu’il gère.

Protection des données personnelles

Réputation de l’organisme

Un organisme en conformité avec le cadre juridique ne craint plus d’être sanctionné par l’autorité de contrôle (CNIL) et bénéficie d’un accompagnement de cette dernière en cas de besoin.

Les citoyens ont davantage confiance en un organisme en conformité puisqu’il est transparent sur la gestion de leurs données. Ils maîtriseront leurs données personnelles et apprécieront le respect de leur vie privée.

Sérénité juridiqueConfiance des citoyens

29

7 conseils pour un projet RGPD réussi

1Sensibiliser vos collaborateurs

Identifiez vos données sensibles

Sécurisez vos données

2

3

Informez l’ensemble des responsables de service, afin

de diffuser une culture d’entreprise sur la protection

des données

Appliquez les bonnes pratiques de sécurité informatique pour vos

données

Cartographiez vos données, déterminez le périmètre des données sensibles, identifiez leur provenance

et avec qui ces données seront partagées (transferts hors UE)

Respectez la vie privée de vos clients / prospects

Révisez vos contrats

Soyez prêt en cas de violation de données

4

5

6

7Coopérez avec les autorités de contrôle

Nommez un référent ou un DPO pour établir un point de

contact avec la CNIL

Anticipez la mise en place des procédures afin de

réagir en cas de violation des données

Assurez-vous de la conformité de vos

sous-traitants en tant que co-responsable du

traitement des données

Assurez-vous que vos traitements de données soient conformes, en tenant un registre des traitements

Notes

Icons made by : Freepik, Roundicons, Smashicons, Ismartline, Anatoly, Iconice, Prosymbols, Sergiu Bagrin, Tomas Knop, Those Icons, Vectors market, Eucolyp, Madebymade, Nikita Golubev, Zlatko Najdenovski from www.flaticon.com

Contact09 71 16 15 42

contact@optimex-data.frwww.optimex-data.fr