1

Règlement Général de Protection des

Données (RGPD)

C’est une règlementation européenne encadrant les traitements de donnéespersonnelles.

Objectifs du texte :

Prendre en compte les évolutions technologiques et les nouveaux usagesnumériques (réseaux sociaux, commerce en ligne, plateformes d’intermédiation, etc.);

Harmoniser les règles existantes au sein de l’Union européenne;

Renforcer:o Les droits des citoyens européens sur leurs données personnelles ;o Les obligations pesant sur quiconque traite des données personnelles (entreprises, administrations,

syndicats professionnels, partis politiques, associations, etc.);o Les pouvoirs de contrôle et de sanction des autorités de régulations (CNIL en France)

Date d’entrée en application : 25 mai 20182

Introduction : Qu’est-ce que le RGPD?

Le RGPD s’applique à toute opération, automatisée ou non, portant sur des donnéespersonnelles.

3

Introduction : Le champ d’application matériel du RGPD

Exemples de données personnelles : Nom et prénom, Image et voix, Empreintes digitales, Date et lieu de naissance, Coordonnées personnelles et professionnelles, Numéro de passeport, de sécurité sociale ou d’immatriculation, Données de localisation (géolocalisation), Adresse IP, Pseudo en ligne, numéro de client et autres matricules, coordonnées bancaires, …

Une donnée personnelle est une « information se rapportant à une personne physiqueidentifiée ou identifiable ».

Afin de se conformer aux exigences du RGPD, les entreprises vont devoir :

1) Identifier leurs traitements de données personnelles ;

2) Tenir un registre des traitements de l’entreprise ;

3) Mettre en place une politique interne de protection des données personnelles;

4) Réaliser, si nécessaire, des « analyses d’impact » ;

5) Identifier et mettre à jour les contrats avec leurs prestataires ;

6) Informer les titulaires des données traitées (salariés, clients, prospects, etc.) desmodalités du traitement et de leurs droits ;

7) Nommer, dans certains cas, un Délégué à la Protection des Données (DPO).

4

Introduction : Un Règlement imposant des obligations aux entreprises

Le RGPD est un texte complexe à mettre en œuvre pour les entreprises (la plupart neseront pas en conformité d’ici le 25 mai 2018) ;

Les pouvoirs publics ont conscience de cette réalité : la CNIL ne punira pas les entreprisesn’ayant pas fini leur processus de mise en conformité au 25 mai 2018 (ex: analyses d’impact,registre, DPO) ;

Cette relative bienveillance sera cependant conditionnée au :

o Lancement, par l’entreprise, d’une démarche de conformité avant le 25 mai 2018 ;oRespect, par l’entreprise, des principes de base de la protection des données

personnelles (information des gens et respect de leurs droits, mise en œuvre detraitements non disproportionnés et licites, etc.) ;

5

Ce qu’il faut retenir

1) Identifier les traitements de données personnelles de l’entreprise

6

Afin de faire une cartographie efficace de leurs traitements, les entreprisesdoivent se poser les questions suivantes :

1) « Pourquoi ? » : identification des objectifs poursuivis par lestraitements ;

2) « Qui ? » : identification des acteurs impliqués dans les traitements del’entreprise ;

3) « Comment ? » : identification des modalités pratiques du traitement.

7

Les questions à se poser lors de l’identification des traitements de l’entreprise

Les entreprises (y compris les TPE/PME) réalisent au quotidien des traitements dedonnées personnelles :la FFB a rédigé une annexe répertoriant les traitements courantsd’un adhérent

8

« Pourquoi ? » : Panorama des traitements les plus courants

Exemples de traitements réalisés par une entreprise

Gestion des clients et prospects ;

Gestion des fournisseurs ;

Gestion du personnel ;

Gestion de la paie du personnel ;

Traitement de comptabilité générale ;

Gestion de la téléphonie du personnel ;

Ecoute et enregistrement des conversations téléphoniques sur le lieu de travail ;

Gestion des contentieux ;

Géolocalisation des véhicules des employés ;

Système de vidéosurveillance/vidéo-protection ;

Gestion des badges sur le lieu de travail.

9

« Qui ? » : Identification des principaux acteurs d’un traitement de données personnelles

Le Responsable de traitement (l’entreprise)

Détermine les finalités et moyens dutraitement ;

Juridiquement responsable de la conformitédu traitement au RGPD et du respect desobligations légales.

Le Sous-traitant (le prestataire exécutant)

En principe, il s’agit d’un prestataire de service(expert-comptable, hébergeur, agence decommunication, prestataire informatique,etc.).

Traite les données personnelles pour lecompte du Responsable de traitement ;

La Personne concernée (le sujet) Titulaire des données personnelles traitées ; Salarié, client, prospect, fournisseur, … du

Responsable de traitement.

Le Destinataire (le récipiendaire) Toute personne recevant les données

collectées auprès de la Personne concernée :o Salarié ou Sous-traitant du Responsable

de traitement ou le Sous-traitant ;o Pouvoirs publics (ex: cas d’une obligation

de déclaration fiscale ou sociale)

Transmet les données à

Transmet les données à

Transmet les données à

Obéit à

Pour connaître les modalités d’un traitement (ancien ou nouveau), l’entreprise doitrechercher les informations suivantes :

1) Types de données traitées (ex: nom, prénom, coordonnées personnelles, etc.) ;

2) Durée de conservation des données traitées ;

3) Modalités d’information des personnes concernées (e-mail, courrier, affichage, etc.)

4) Modalités de sécurisation des données ;

5) Eventuels transferts de données en dehors de l’Union européenne.

10

« Comment ? » : identification des modalités pratiques du traitement

Les entreprises peuvent s’adresser à leurs prestataires pour connaître ces informations.

2) Tenir un registre des activités de traitement

11

Le 25 mai 2018, les entreprises devront remplir (grâce aux renseignementsobtenus précédemment) un registre de leurs activités de traitement ;

Le registre peut être sous format papier ou électronique et doit être tenu àdisposition de la CNIL en cas de contrôle.

La FFB a pré-rempli un registre papier et électronique afin de vous aider dansla démarche

12

Qu’est-ce qu’ un registre des activités de traitement ?

La réponse est NON.

Le RGPD impose aux entreprises ou organisations de moins de 250 salariésd’inscrire dans un registre tous leurs traitements qui ne seraient pas occasionnels.

Or, certains traitements ne sont pas occasionnels (ex : vidéosurveillance, gestion desressources humaines, des fournisseurs, des prospects, etc.)...

Il est donc grandement recommandé, même si l’entreprise compte moins de 250salariés, de tenir un registre de ses activités de traitement.

13

Existe-t-il des exemptions pour les TPE/PME?

1) Identifier les différents traitements de l’entreprise (cf. slides précédentes) ;

2) Demander un modèle pré-rempli à la FFB Gard (les entreprises devront s’assurer de respecter les éléments préinscrit et fournir les éléments manquants)

3) Remplir le registre avec les informations obtenues dans le cadre de la cartographie (une fiche Excel ou word par catégorie de traitement : vidéosurveillance, gestion du personnel, etc.)

4) Mettre à jour régulièrement le registre (modification d’un traitement existant ou ajout d’un nouveau traitement)

14

Comment établir le registre?

3) Mettre en place une politique interne de protection des données

personnelles

15

Définition : mesures prises afin de préserver la sécurité des donnéeset empêcher leur déformation, destruction ainsi que tout accès nonautorisé.

16

Qu’est-ce qu’une politique interne de protection des données ?

Limiter le nombre de données collectées;

Fixer de durées maximales de conservation des données ;

Limiter le nombre de personnes ayant accès aux données ;

Désigner, si nécessaire, d’un délégué à la protection des données (DPO) ;

Prendre des mesures techniques et organisationnelles adaptées;

Obtenir d’une certification ou respect d’un code de conduite approuvés par la CNIL;

Contrôler régulièrement l’efficacité des règles de protection en place.

La FFB a établi une check-list des mesures internes de protection des données

17

Quelques exemples de mesures internes de protection des données

Les données personnelles peuvent être, de façon accidentelle ou illicite, détruites, perdues,altérées ou divulguées ou un tiers non autorisé peut y avoir accès.

Faut-il informer la CNIL dans ce cas?

Si la violation a des conséquences graves pour les personnes concernées : OUIoRemplir le formulaire disponible sur https://www.cnil.fr/fr/vos-demarches-en-ligne

(en cours de refonte)

Si les conséquences de la violation sont limitées : NONo Enregistrer, par contre, la violation sur un document dédié

Faut-il informer les personnes concernées?

OUI, sauf exceptions.

18

Et s’il y a un incident de sécurité ? (1/2)

Procédure à suivre:

Identifier et corriger la faille de sécurité (au besoin, s’adresser aux prestataires del’entreprise) ;

Conserver des renseignements sur la faille de sécurité ;

Porter plainte (notamment en cas d’attaque informatique ou d’acte de malveillance);

Déclarer le sinistre à l’assureur (vérifier que ce type de risques est couvert par la police) ;

Notifier, le cas échéant, l’incident à la CNIL ;

Informer, le cas échéant, les personnes concernées (ex: communiqués de presse)

Enregistrer l’incident dans un registre des failles de sécurité.

19

Et s’il y a un incident de sécurité ? (2/2)

4) Réaliser une analyse d’impact des traitements

20

Elle est obligatoire pour les traitements susceptibles d’engendrer un risque élevé pour lesdroits et libertés des personnes concernées,

C’est une évaluation :

des risques des traitements envisagés pour les droits et libertés des personnes physiques(ex: atteinte à la vie privée, vol, destruction, altération des données ou accès non autorisé);

Des mesures prises par l’entreprise pour réduire les risques identifiés.

Elle doit être réalisée avant la mise en place du traitement.

21

Qu’est-ce qu’une analyse d’impact?

L’entreprise doit réaliser une analyse d’impact quand le traitement envisagé réunit 2 des 9critères suivants :

1) Evaluation ou notation d’une personne physique ;2) Prise de décision automatisée avec effet juridique ou effet similaire significatif;3) Surveillance systématique;4) Données sensibles ou à caractère hautement personnel;5) Données traitées à grande échelle;6) Croisement ou combinaison d’ensemble de données;7) Données concernant des personnes vulnérables;8) Utilisation innovante ou application de nouvelles solutions technologiques ou

organisationnelles;9) Traitement qui empêche les personnes concernées d’exercer un droit ou de bénéficier

d’un service ou d’un contrat;

22

L’analyse d’impact est-elle obligatoire?

Les prestataires habituels de l’entreprise (hébergeurs, experts informatiques, etc.) doiventl’aider à réaliser l’analyse d’impact ;

L’entreprise peut déléguer cette tâche à un tiers si elle en a la possibilité :oPrestataires informatiques habituels;oAvocats;o Experts en informatique;o Experts en sécurité, etc.o…

Si l’entreprise a désigné un DPO, ses recommandations sont inscrites dans l’analyse;

23

Qui doit réaliser l’analyse d’impact?

Le RGPD exige que l’analyse d’impact contienne au moins les éléments suivants :

Description des traitements envisagés :

Evaluation de la nécessité et de la proportionnalité du traitement ;

Evaluation des risques pour les droits et libertés des personnes concernées ;

Mesures envisagées pour faire face aux risques.

24

Quel est le contenu d’une analyse d’impact?

Afin d’aider les entreprises à réaliser les analyses, la CNIL a développé un outil automatisé,intitulé « Outil PIA ». Il est disponible sur https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Consulter la CNIL et lui transmettre un dossier comprenant :

o L’analyse d’impact réalisée ;o Le rôle des acteurs du traitement envisagé (responsable de traitement, responsables de

traitement conjoints et sous-traitants) ;o Les finalités et moyens du traitement envisagé ;o Les mesures et garanties de protection des droits et libertés des personnes concernées ;o Les coordonnées du DPO (s’il est nommé) ;o Toute autre information requise par la CNIL.

Le logiciel « PIA » développé par la CNIL fournira l’essentiel du contenu demandé.

La CNIL aura 8 semaines pour répondre (prorogation de 6 semaines supplémentaires possible). Al’issue du délai, elle rend un avis écrit et peut user des pouvoirs lui étant reconnus par le RGPD(interdiction, injonction, etc.).

25

Que faire en cas de risque particulièrement élevé?

5) Identifier et mettre à jour les contrats avec les prestataires de

l’entreprise

26

27

Rappel : Identification des principaux acteurs d’un traitement de données personnelles

Le Responsable de traitement (l’entreprise)

Détermine les finalités et moyens dutraitement ;

Juridiquement responsable de la conformitédu traitement au RGPD et du respect desobligations légales.

Le Sous-traitant (le prestataire exécutant)

En principe, il s’agit d’un prestataire de service(expert-comptable, hébergeur, agence decommunication, prestataire informatique,etc.).

Traite les données personnelles pour lecompte du Responsable de traitement ;

La Personne concernée (le sujet) Titulaire des données personnelles traitées ; Salarié, client, prospect, fournisseur, … du

Responsable de traitement.

Le Destinataire (le récipiendaire) Toute personne recevant les données

collectées auprès de la Personne concernée :o Salarié ou Sous-traitant du Responsable

de traitement ou le Sous-traitant ;o Pouvoirs publics (ex: cas d’une obligation

de déclaration fiscale ou sociale)

Transmet les données à

Transmet les données à

Transmet les données à

Obéit à

C’est un exécutant qui traite les données sur ordre de l’entreprise :

o Experts-comptables;oAgences de marketing ou de communication;oPrestataires de services informatiques (hébergement, maintenance, etc.);o Intégrateurs de logiciels;o Sociétés de sécurité informatique;o…

28

Qu’est-ce qu’un sous-traitant?

A noter : Le sous-traitant n’est responsable des dommages causés qu’en cas de violationde ses obligations ou des ordres de l’entreprise.

Faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes pourrépondre aux exigences du RGPD.

Etapes à suivre :

1) Identifier les traitements de données personnelles en cours au sein de l’entreprise et lessous-traitants correspondants (cf. slides précédentes) ;

2) Vérifier et mettre à jour les contrats en cours ;

3) Vérifier les clauses des futurs contrats.

La FFB a rédigé une fiche « L’organisation contractuelle des relations entre les acteurs de traitement »

29

Pour se mettre en conformité avec le RGPD

Prévoir les clauses suivantes dans TOUS les contrats avec les sous-traitants :

Clause de définition des modalités du traitement (objet, durée, obligationsrespectives des parties, etc.);

Le sous-traitant et ses salariés sont soumis à une obligation de confidentialité;

Le sous-traitant ne peut agir que sur instruction documentée de l’entreprise;

Le sous-traitant ne peut pas recruter un autre sous-traitant sans l’accord del’entreprise;

Le sous-traitant soumet ses propres sous-traitants aux mêmes obligations que lui;

Le sous-traitant met à disposition de l’entreprise les éléments permettant de vérifiersa conformité au RGPD (audits, etc.);

Le sous-traitant doit protéger les données et aider l’entreprise à accomplir sesobligations légales (analyses d’impact, mesures de sécurité, etc.);

Si une personne concernée veut exercer ses droits légaux, le sous-traitant aidel’entreprise à exaucer cette requête;

En fin de contrat, le sous-traitant rend les données à l’entreprise ou les détruit.30

Les éléments à rajouter dans les contrats

6) Informer les salariés, clients, prospects, …

31

32

Quelles informations fournir?

Il s’agit d’informations sur les modalités de traitement et les droits des personnes :

Nom et coordonnées de l’entreprise ;

Objectifs des traitements;

Durée de conservation et personnes ayant accès aux données ;

Transfert ou non des données en dehors de l’UE;

Modalités d’exercice des droits octroyés par le RGPD aux personnes concernées, …

33

Quand informer les personnes concernées? EN CAS DE COLLECTE DIRECTE EN CAS DE COLLECTE INDIRECTE

(EX : ACHAT FICHIER CLIENTS)

Lors de la collecte des données :

Signature d’un contrat ;

Remplissage d’un formulaire ;

Mise en place d’un nouveau traitement

dans l’entreprise (ex: vidéosurveillance,

géolocalisation, etc.) ;

Entrée dans les locaux de l’entreprise

(ex: cas de locaux sous vidéosurveillance) ;

Création d’un compte utilisateur en ligne;

Connexion au site internet;

Visite du site internet,

…

Règle de base : au maximum, 1 mois

après avoir obtenu les données ;

Si les données doivent servir à

communiquer avec la personne (ex :

prospection commerciale, publicité, etc.),

au plus tard lors de la première

communication.

34

Comment donner les informations ?

1) Identifier, pour chaque nouveau traitement, les informations à fournir ;

2) Identifier tous supports d’information possibles :

Formulaires (papier, en ligne) ;

Courriers, courriels, SMS, affichages dans les locaux ;

Documents contractuels (contrats fournisseurs, bons de commande, devis, contrats de

travail, CGV, etc.) ;

« Conditions générales d’utilisation » (CGU) du site internet ;

Charte d’utilisation des ressources informatiques, …

3) Rédiger des modèles de clauses et messages types ou utiliser les modèles FFB (salariés,

candidat à l’embauche, géolocalisation, clause de confidentialité, clause et message

d’information CGU CGI).

Une personne peut exercer les droits suivants sur ses données :

Droit d’obtenir accès (via une copie) aux données traitées par l’entreprise;

Droit de faire rectifier des données incomplètes ou inexactes;

Droit de faire supprimer les données ;

Droit d’obtenir la suspension du traitement ;

Droit à la portabilité des données (sous format numérique standard) ;

Droit de s’opposer au traitement pour des motifs légitimes.

35

Quels sont les droits des personnes concernées?

36

Que doit faire l’entreprise en cas de réclamation?

DELAIS

Règle de base : Répondre au plus tard un mois à compter de la réception de la demande (en cas de

refus, donner les motifs et informer la personne de son droit à saisir la CNIL ou une juridiction).

En cas de demandes complexes ou nombreuses : Possibilité de proroger le délai de deux mois

mais le justifier.

MODALITES

Demander systématiquement une preuve d’identité !

Apporter une réponse concise, compréhensible et aisément accessible.

Fournir les informations par écrit ou par voie électronique, voire oralement.

COÛTS

Démarche gratuite, sauf :

- demandes manifestement infondées ou excessives (charge de la preuve sur l’entreprise) ;

- frais de copie supplémentaire (exercice du droit d’accès), dans la limite du raisonnable.

7) Nommer un Délégué à la Protection des Données (DPO)

37

Le DPO joue un triple rôle auprès de l’entreprise:

Information et conseil : aide l’entreprise à se mettre/demeurer en conformité avec larèglementation en matière de données personnelles ;

Contrôle: vérifie que l’entreprise respecte la règlementation ;

Point de contact : représente l’entreprise vis-à-vis de la CNIL et des personnes concernées.

38

Qu’est-ce-qu’un Délégué à la Protection des Données (DPO) ?

Le DPO est :

Indépendant: ne peut recevoir aucune instruction dans le cadre de ses missions;

Soumis à une obligation de confidentialité ou au secret professionnel;

Exempt de tout conflit d’intérêts: notamment s’il travaille au sein de l’entreprise.

SEULEMENT si :

Les activités de base de l’entreprise consistent en des traitements qui exigent un suivi régulier et systématiqueà grande échelle des personnes concernées (salariés, clients, prospects, etc.) ;

Exemples d’entreprises remplissant manifestement ces conditions :

Etablissements bancaires,Compagnies d’assurance,Caisses de congés payés,Caisses de retraite et société mutuelles,Agences de voyages,Sociétés de sécurité privées,Fournisseurs de services de télécommunications,Établissements de santé,Opérateurs de télécommunication

Et les entreprises du bâtiment?

Le RGPD ne répond pas clairement à cette question : les entreprises (surtout celles de taille importante)doivent donc s’interroger sur l’opportunité de désigner un DPO (elles peuvent s’adresser à un conseil).

39

Une entreprise doit-elle obligatoirement nommer un DPO?

Le DPO peut être:

40

Qui peut être DPO ?

Le DPO est choisi en fonction :

De ses qualités professionnelles (loyauté, discrétion, résistance à la pression, etc.)De ses connaissances en droit ;De sa maîtrise des pratiques en matière de protection des données personnelles.

Pour en savoir plus : des modèles de fiche de poste, lettre de mission et charte déontologiqueont été réalisés par l’AFCDP (Association Française des Correspondants à la protection desDonnées à Caractère personnel).

Un salarié de l’entreprise

Un tiers (avocat, cabinet de conseil, expert en

protection des données personnelles, etc.)

OU