Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1....

16

Transcript of Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1....

Page 1: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Page 2: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1Table des matières

Avant-propos

Chapitre 1Introduction

1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2. Approche(s) du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3. Objet et sujets du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4. Application dans le temps du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . 15

5. Application dans l’espace du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . 16

6. Genèse et portée du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

7. RGPD : obligations et opportunités . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Chapitre 2Une première approche du RGPD

1. Structure du document officiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.1 Considérants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.2 Articles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

2. Principaux termes et définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3. Les deux piliers du règlement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4. Principes fondamentaux juridiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.1 Principes fondamentaux relatifs aux traitements de DCP. . . . . 35

4.1.1 Licéité, loyauté et transparence . . . . . . . . . . . . . . . . . . . . 364.1.2 Finalité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.1.3 Proportionnalité des données . . . . . . . . . . . . . . . . . . . . . . 394.1.4 Exactitude des données . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.1.5 Conservation des données. . . . . . . . . . . . . . . . . . . . . . . . . 414.1.6 Sécurité des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434.1.7 Responsabilité (accountability) . . . . . . . . . . . . . . . . . . . . 45

lcroise
Tampon
Page 3: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2Le comprendre et le mettre en œuvre

RGPD

4.2 Principes fondamentaux relatifs aux droits des personnes concernées . . . . . . . . . . . . . . . . . . . . . . 514.2.1 Information et communication . . . . . . . . . . . . . . . . . . . . 524.2.2 Droit d'accès aux DCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.2.3 Droit de rectification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.2.4 Effacement (droit à l’oubli). . . . . . . . . . . . . . . . . . . . . . . . 544.2.5 Droit d'opposition à un traitement . . . . . . . . . . . . . . . . . 554.2.6 Droit à la limitation du traitement . . . . . . . . . . . . . . . . . 564.2.7 Droit à la portabilité des données. . . . . . . . . . . . . . . . . . . 57

5. Le pilier "sécurité des DCP" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6. Du droit au management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Chapitre 3Un système de management

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

2. Le système de management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602.1 Qu'est-ce qu'un système ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602.2 Qu’est-ce qu’un système de management ? . . . . . . . . . . . . . . . . 612.3 Caractéristiques d’un système de management . . . . . . . . . . . . . 62

3. Conception du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633.1 Finalité du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633.2 Interaction du système avec son environnement. . . . . . . . . . . . 633.3 Objectifs du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653.4 Éléments qui le composent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653.5 Autres caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

4. Processus du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664.2 Déterminer le nombre et l'intitulé des processus . . . . . . . . . . . . 67

Page 4: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3Table des matières

4.3 Objectifs, activités et éléments de sorties des 12 processus. . . . 704.3.1 Processus - Accountability . . . . . . . . . . . . . . . . . . . . . . . . 714.3.2 Processus - Traitements et transferts de données . . . . . . 724.3.3 Processus - Droits des personnes concernées . . . . . . . . . . 734.3.4 Processus - Sous-traitants . . . . . . . . . . . . . . . . . . . . . . . . . 734.3.5 Processus - Privacy by design . . . . . . . . . . . . . . . . . . . . . . 744.3.6 Processus - Privacy by default . . . . . . . . . . . . . . . . . . . . . . 754.3.7 Processus - Privacy Impact Assessment (PIA) . . . . . . . . . 764.3.8 Processus - Sensibiliser, former et communiquer . . . . . . 764.3.9 Processus - Exigences, sollicitations,

violations, poursuites . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774.3.10 Processus - Évaluer et auditer . . . . . . . . . . . . . . . . . . . . . . 784.3.11 Processus - Gérer la documentation et les preuves . . . . . 784.3.12 Processus - Piloter le SMDCP . . . . . . . . . . . . . . . . . . . . . . 79

5. Outils du SMDCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

6. Ressources humaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

7. Autres caractéristiques du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 857.1 Fonction de contrôle ou de feedback. . . . . . . . . . . . . . . . . . . . . . 857.2 Politiques du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

7.2.1 Politique générale de protection des données à caractère personnel . . . . . . . . . . . . . . . . . . 87

7.2.2 Politique de gestion des données à caractère personnel . 887.3 Les référentiels du système de gestion . . . . . . . . . . . . . . . . . . . . 887.4 Propriétés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

7.4.1 Il est transversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897.4.2 Il est décrit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897.4.3 Il est en amélioration constante . . . . . . . . . . . . . . . . . . . 907.4.4 Il fournit des preuves. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Page 5: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4Le comprendre et le mettre en œuvre

RGPD

8. Gouvernance du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 938.1 Qu’est-ce que la gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . . 938.2 Principes de la gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

8.2.1 Collégialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 958.2.2 Transparence du cheminement décisionnaire . . . . . . . . . 958.2.3 Gestion des risques et des conflits . . . . . . . . . . . . . . . . . . 958.2.4 Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

8.3 Acteurs de la gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 978.4 Structure de gouvernance et rythme. . . . . . . . . . . . . . . . . . . . . . 988.5 Tableau de bord de la gouvernance . . . . . . . . . . . . . . . . . . . . . . . 98

9. Intégration du SMDCP avec des systèmes de management existants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1019.1 Juxtaposition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1039.2 Harmonisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1049.3 Mutualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

10. En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Chapitre 4Mise en œuvre du système de management

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

2. Choix de la méthode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

3. Phase de conception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1093.1 Étape 1 : Définir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

3.1.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1103.1.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1103.1.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

3.2 Étape 2 : Collecter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1153.2.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1153.2.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1163.2.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Page 6: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5Table des matières

3.3 Étape 3 : Organiser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1203.3.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1203.3.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1203.3.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

3.4 Étape 4 : Protéger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283.4.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283.4.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1293.4.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

3.5 Étape 5 : Clôturer la phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313.5.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313.5.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313.5.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

4. Phase de réalisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1334.1 Les trois étapes de la phase de réalisation . . . . . . . . . . . . . . . . . 1334.2 Étape 1 : Exécuter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

4.2.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1344.2.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1344.2.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

4.3 Étape 2 : Mesurer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1424.3.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1424.3.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1434.3.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

4.4 Étape 3 : Clôturer le projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1444.4.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1444.4.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1444.4.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

5. Organisation du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1465.1 Échéancier du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1465.2 Ressources du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

6. Cycle de vie du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

7. Facteurs clés de succès du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Page 7: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6Le comprendre et le mettre en œuvre

RGPD

Chapitre 5La sécurité des DCP et PIA

1. Système d'information et sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . 1511.1 Rappel sur le système d'information . . . . . . . . . . . . . . . . . . . . . 1511.2 Sécurité des systèmes d'information . . . . . . . . . . . . . . . . . . . . . 1521.3 Normes et référentiels de sécurité

des systèmes d'information . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

2. Sécurité des DCP : que dit le règlement ? . . . . . . . . . . . . . . . . . . . . . 158

3. Privacy by default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

4. Analyse d'impact relative à la protection des données. . . . . . . . . . . 166

5. Traitements et facteurs de déclenchement d’un PIA . . . . . . . . . . . . 167

6. Déroulement d’un PIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1706.1 PIA et respect des principes fondamentaux . . . . . . . . . . . . . . . 1716.2 PIA et mesures de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

6.2.1 Prise en compte du contexte. . . . . . . . . . . . . . . . . . . . . . 1736.2.2 Appréciation des risques . . . . . . . . . . . . . . . . . . . . . . . . . 1736.2.3 Traitement des risques . . . . . . . . . . . . . . . . . . . . . . . . . . 1756.2.4 Consultation préalable . . . . . . . . . . . . . . . . . . . . . . . . . . 1776.2.5 Acceptation des risques. . . . . . . . . . . . . . . . . . . . . . . . . . 178

7. Privacy by design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Chapitre 6Le(s) responsable(s) et le(s) sous-traitant(s)

1. introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

2. Relations entre le responsable du traitement et le sous-traitant. . . 1812.1 Définition du sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1822.2 Choix du sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1832.3 Droit applicable à la sous-traitance . . . . . . . . . . . . . . . . . . . . . . 185

Page 8: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7Table des matières

2.4 Dispositions du RGPD relatives au contrat . . . . . . . . . . . . . . . 1862.4.1 Obligation de limitation du traitement

par le sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1872.4.2 Obligation de confidentialité du sous-traitant . . . . . . . 1882.4.3 Obligation de sécurité du traitement . . . . . . . . . . . . . . . 1882.4.4 Obligation de coopération avec le responsable . . . . . . . 1882.4.5 Obligations en fin de contrat . . . . . . . . . . . . . . . . . . . . . 1892.4.6 Clauses contractuelles types . . . . . . . . . . . . . . . . . . . . . . 189

2.5 Sous-traitance initiale et sous-traitances successives . . . . . . . . 189

3. Relations entre les responsables conjoints . . . . . . . . . . . . . . . . . . . . 190

Chapitre 7Les transmissions de données

1. Distinction entre les transmissions, les transferts européens et les transferts internationaux de données . . . . . . . . . . 193

2. Transmission de données en France . . . . . . . . . . . . . . . . . . . . . . . . . 194

3. Traitements transfrontaliers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1963.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1963.2 Particularité de ces traitements . . . . . . . . . . . . . . . . . . . . . . . . . 1963.3 Détermination de la loi applicable

en cas de traitement transfrontalier . . . . . . . . . . . . . . . . . . . . . 1983.4 Compétence en cas de recours . . . . . . . . . . . . . . . . . . . . . . . . . 201

4. Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales . . . . . . . . . . . . 2024.1 Principe général applicable aux transferts . . . . . . . . . . . . . . . . . 2034.2 Transferts fondés sur une décision d'adéquation . . . . . . . . . . . 2034.3 Transferts moyennant des garanties appropriées. . . . . . . . . . . 2054.4 Règles d’entreprise contraignantes . . . . . . . . . . . . . . . . . . . . . . 206

4.4.1 Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2064.4.2 Exemples de règles d’entreprise contraignantes (BCR). 209

4.5 Transferts ou divulgations non autorisés par le droit de l'Union. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

Page 9: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8Le comprendre et le mettre en œuvre

RGPD

4.6 Dérogations pour des situations particulières . . . . . . . . . . . . . 2104.6.1 Autorisation de la personne concernée . . . . . . . . . . . . . 2104.6.2 Transferts nécessaires . . . . . . . . . . . . . . . . . . . . . . . . . . . 2114.6.3 Transferts réalisés à partir d’un registre public . . . . . . . 2114.6.4 Transferts à portée limitée . . . . . . . . . . . . . . . . . . . . . . . 212

4.7 Limites au transfert de catégories spécifiques de données à caractère personnel. . . . . . . . . . . . . . . . . . . . . . . . 213

5. Traitement d’un responsable ou sous-traitant de pays tiers vers l’UE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2135.1 Applicabilité du règlement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2135.2 Désignation d’un représentant . . . . . . . . . . . . . . . . . . . . . . . . . 2155.3 Modalités et portée de la désignation . . . . . . . . . . . . . . . . . . . . 216

Chapitre 8Le contrôle de l’autorité, la CNIL

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

2. Traitement des réclamations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

3. Enquête . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

4. Accès aux locaux du responsable du traitement ou du sous-traitant. . . . . . . . . . . . . . . . . . . . . . . . . . . 219

5. Notification d’une violation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

6. Mise en demeure. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

7. Rappel à l’ordre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

8. Injonctions diverses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

9. Mesures coercitives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

10. Caractère contradictoire des procédures . . . . . . . . . . . . . . . . . . . . . . 222

11. Publicité des mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

Page 10: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9Table des matières

Chapitre 9Les sanctions

1. Diversité des sanctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2231.1 Sanctions prononcées par l’autorité de contrôle. . . . . . . . . . . . 224

1.1.1 Mesures correctrices . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2241.1.2 Amendes administratives . . . . . . . . . . . . . . . . . . . . . . . . 225

1.2 Les sanctions pénales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2271.3 Condamnation à des dommages-intérêts . . . . . . . . . . . . . . . . . 2321.4 Sanctions liées au caractère illicite du traitement . . . . . . . . . . 233

1.4.1 Nullité des contrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2331.4.2 Licenciement non fondé . . . . . . . . . . . . . . . . . . . . . . . . . 233

2. Représentation de la personne concernée . . . . . . . . . . . . . . . . . . . . . 234

3. Détermination des responsables . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2353.1 Un responsable du traitement . . . . . . . . . . . . . . . . . . . . . . . . . . 2363.2 Plusieurs responsables du traitement . . . . . . . . . . . . . . . . . . . . 2373.3 Un sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2383.4 Une pluralité de responsables . . . . . . . . . . . . . . . . . . . . . . . . . . 2383.5 Action récursoire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

4. Appréciation de la responsabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2404.1 Limitation ou exclusion de responsabilité . . . . . . . . . . . . . . . . 2404.2 Responsabilité, certifications et codes de conduites. . . . . . . . . 2414.3 Responsabilité et délégué à la protection des données. . . . . . . 242

4.3.1 Un recours parfois obligatoire. . . . . . . . . . . . . . . . . . . . . 2424.3.2 Un recours recommandé ? . . . . . . . . . . . . . . . . . . . . . . . 2444.3.3 Responsabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

Page 11: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

107

Chapitre 4

Mise en œuvre du systèmede management

Mise en œuvre du système de management

1. Introduction

La méthode exposée dans ce chapitre permet de disposer au bout de quelquesjours pour les petites entreprises et quelques semaines pour les plus grandes :

– d'un système de management opérationnel

– de preuves opposables en cas de sollicitations ou de poursuite

Le chef de projet devra faire preuve de tactique en combinant de manièreoptimale les modes opératoires et les moyens dont il dispose. Un tel projetvient nourrir la transition numérique de l'entreprise et fait bouger les lignes del'organisation.

2. Choix de la méthode

Le chapitre Un système de management conclut qu’il faut mettre en œuvreun SMDCP composé de processus, d'outils, qui nécessitent des compétences(internes ou externes) ainsi qu’une structure de gouvernance pour atteindre lebut. De plus, en présence de systèmes déjà existants, il doit en être tenucompte dans la phase de conception.

lcroise
Tampon
Page 12: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

© E

dit

ions

EN

I -

All r

ights

rese

rved

108Le comprendre et le mettre en œuvre

RGPD

Dans 80 % des cas, c’est le service informatique qui initialise la réflexionauprès de la direction. Le responsable informatique ou la personne qui enprend l’initiative va profiter d’une réunion de direction pour expliquer lesenjeux du RGPD et les obligations de l’entreprise.

Quelle que soit l’écoute accordée, le projet RGPD est un projet pour lequel lesdirections ne souhaitent pas investir beaucoup de temps ni de ressources. Laméthode de mise en œuvre s’appuie sur deux principes :

– Utiliser des cycles courts pour obtenir rapidement des résultats.

– Capitaliser sur des ressources déjà existantes pour limiter les coûts.

Peu de moyens et beaucoup de résultats

Inspirée du lean startup, la méthode pragmatique du build & run est celle quenous avons retenue. Elle comprend deux phases, conception et réalisation, quenous découpons en cinq étapes pour la conception et trois pour la réalisation.

Page 13: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

109Mise en œuvre du système de managementChapitre 4

Dès la phase de conception, des preuves opposables sont produites, la phasede réalisation vient les compléter et les enrichir. Au terme de cette secondephase, le SMDCP passe en mode PDCA, nous parlerons alors du cycle de viedu SMDCP.

3. Phase de conception

La phase de conception comprend cinq étapes :

Nous ne rappelons pas les bonnes pratiques de la gestion de projet, elles sontconsidérées comme connues.

1. Initialiser le projet et définir le périmètre.

2. Collecter les activités de traitement.

3. Évaluer les éléments du système et projeter une organisation.

4. Apprécier le dispositif de sécurité, traiter les analyses d'impacts relativesà la protection des données et rédiger les politiques.

5. Valider le plan de progrès, enregistrer les documents à valeur de preuveset clôturer la phase.

Page 14: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

© E

dit

ions

EN

I -

All r

ights

rese

rved

110Le comprendre et le mettre en œuvre

RGPD

3.1 Étape 1 : Définir

3.1.1 Objectifs

C'est le lancement du projet. Cette étape vise six objectifs :

– Nommer le chef de projet

– Définir le périmètre du SMDCP

– Identifier les acteurs de la gouvernance

– Définir les critères du registre des activités de traitement

– Définir un support de sensibilisation

– Impliquer la direction

3.1.2 Activités

Nommer le chef de projet

Le chef de projet porte la responsabilité de conduire le projet jusqu'à l'étapeClôturer le projet. Sa compétence est décrite dans le chapitre Un système demanagement. Dans un cas sur deux, il s'agit du DPO ou du référent DPO pres-senti.

Il est important qu'il dispose de relais internes dans l'entreprise. Il est néces-saire qu'il ait acquis des connaissances minimales sur le RGPD, au travers delectures, de séminaires thématiques ou encore d’une formation. Dans tous lescas, il doit être averti sur ce qu’est une donnée à caractère personnel et uneactivité de traitement.

Page 15: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

111Mise en œuvre du système de managementChapitre 4

Il est vivement recommandé que le chef de projet dispose d'un réseau interne

Définir le périmètre

La note de cadrage doit reprendre l’objectif du projet, préciser le périmètre,rappeler les phases, les étapes et les livrables attendus, les ressources demandéeset un premier de plan de communication qui sera mis à jour au fil du projet.

Il est fondamental que cette note de cadrage soit signée par la direction pours’assurer de son support.

Remarque

La première source d'échec du projet est l'absence d'implication de la direc-tion.

Page 16: Table des matières€¦ · Table des matières 1 Avant-propos Chapitre 1 Introduction 1. Définition du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

© E

dit

ions

EN

I -

All r

ights

rese

rved

112Le comprendre et le mettre en œuvre

RGPD

Identifier les acteurs de la gouvernance

Le chef de projet projette une première structure de gouvernance. En présencede systèmes déjà existants, il se rapproche de leurs responsables auprèsdesquels il affine cette structure. Nous rappelons la liste des membres souhai-tés pour cette gouvernance :

– La direction générale en tant que responsable des activités de traitement.

– Le DPO ou le référent DPO.

– Le responsable du système d’information.

– Le responsable de la sécurité de l’information.

– Le responsable juridique.

– Le responsable des ressources humaines.

– Le responsable qualité.

– Le responsable e-business ou open data.

Définir les critères du registre des activités de traitement

Pour préparer la collecte, le chef de projet définit les critères du registre. L’uti-lisation d’un tableur est recommandée, il facilite la collecte et permet de pro-duire des indicateurs mesurables. À partir des critères retenus, le chef de projetconçoit un modèle de fiche sur la base duquel sont générées autant de fichesqu’il y a de traitements. Pour faciliter les séances de travail collectif qui sui-vront, cette fiche est à imprimer au format A4. La CNIL propose un modèletéléchargeable.

Voici une liste de critères qu'il nous semble pertinent de retenir au regard desexigences du RGPD, des modèles qui peuvent être proposés par les autoritéset de nos retours d’expérience :

– L'intitulé de l'activité de traitement.

– Le nom et les coordonnées des différents rôles : responsable du traitement,responsable conjoint, représentant du responsable du traitement, délégué àla protection des données ou référent DPO.

– Le nom de la personne qui gère les droits d’accès à ces données.