Tableau de bord
Tableau de bord Créez un document Demandez à un avocat Suivez nos guides Accueil
Informations du profil Paramètres du compte
Se déconnecter
Aide
Assistance sur le site Contactez-nous Appelez-nous: 08 01 84 15 64
Parcourir
Créez des documents Demandez à un avocat Suivez nos guides Partenaires Signez en ligne
S'inscrire Se connecter
Aide
Assistance sur le site Contactez-nous Appelez-nous: 08 01 84 15 64
  1. /fr/fr
  2. guide juridique
  3. RGPD : check-list pour se mettre en conformité

RGPD : check-list pour se mettre en conformité

Nombre de caractères restants : 600

RGPD : check-list pour se mettre en conformité

Le règlement européen (général) de protection des données (RGPD) s’applique depuis le 25 mai 2018, dans toutes les entreprises françaises et européennes membres de l’Union européenne. Il fixe de nouvelles règles sur la sécurité des données personnelles que vous avez traitées, pour les besoins de votre entreprise. Ce guide vous propose de faire le point sur les nouvelles obligations qui vous incombent et qui vous permettront d’être en conformité avec les nouvelles exigences imposées par ce règlement.

Pour nous le droit doit être simple. Le RGPD est un sujet complexe et qui peut effrayer de prime abord. Pour le rendre le plus simple possible, nous vous proposons un plan d’action en 4 phases pour comprendre l’impact concret du RGPD sur vous : comprendre, analyser, décider, agir.

Avant tout, un petit résumé des forces en présence.

Exit la loi informatique et Libertés, bonjour le nouveau RGPD !

Jusqu’à présent, les données personnelles récoltées par les entreprises étaient régies par la loi informatique et libertés qui date de 1978. Depuis le 25 mai 2018, cette loi est remplacée par ce nouveau règlement, qui fixe de nouvelles règles, qui vont vous obliger à prendre de nouvelles habitudes en matière de recueil, de traitement et de gestion des données personnelles.

Les données personnelles, qu’est-ce que c’est ?

Les données personnelles, ce sont toutes les données nominatives permettant d’identifier directement ou indirectement une personne physique. Les informations directes sur une personne comme son nom, son numéro de téléphone, son numéro de sécurité sociale, son adresse mail, sa plaque d’immatriculation, etc. ou alors les informations indirectes, comme son âge, ses plats préférés, ses habitudes de déplacements, etc., sont des données personnelles. Ces données peuvent être récoltées sous format numérique ou sous format papier.

À l’inverse, dès lors que les données ne sont pas identifiables, ce ne sont pas des données personnelles. Par exemple, les données collectées sur la circulation routière, où l’on ne collecte que des informations sur le nombre de voitures qui circulent ne peuvent pas être considérées comme des données personnelles.

Et le « traitement » de données personnelles, alors ?  

Pour que toutes les situations entrent dans le cadre légal et pour vous offrir une protection maximale, les textes utilisent la notion fourre-tout de « traitement » de données personnelles. En fait, la notion de traitement va absolument tout inclure : le fait de collecter des données, de créer un fichier client, de les utiliser pour cibler une clientèle, pour faire de la publicité, de les transférer vers une filiale de votre compagnie, etc. Dès qu’une action est faite en lien avec des données personnelles, c’est un traitement.

La CNIL, c’est quoi ?

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité administrative qui se charge de contrôler le respect de la législation sur les données personnelles. C’est elle qui va pouvoir mettre les amendes dites “administratives” prévues par le règlement (20 millions d’euros ou 4 % du chiffre d’affaires mondial maximum).

Mais c’est aussi une source d’aide et d’accompagnement. Si vous avez des questions, des doutes sur les données personnelles, allez sur le site de la CNIL ou prenez contact avec elle. Ses employés sont aussi là pour vous aider.

Avant tout, vous devez analyser ce qui se passe dans votre organisation. Qu’est-ce que vous faites comme traitements de données ? Qui a accès aux données ? Avez-vous besoin de nommer un DPO (délégué à la protection des données) ? Étudions ensemble point par point toutes les questions que vous devez vous poser.

Avez-vous fait l’inventaire de vos traitements de données personnelles ?

Cette étape est nécessaire pour vraiment prendre la mesure de l’impact du règlement et les changements qui vont devoir être faits. Le premier réflexe à avoir est de faire l’inventaire tous les traitements de données personnelles dans l’entreprise, en commençant par exemple avec les données ressources humaines qui traitent obligatoirement des données personnelles. Ensuite, dans les relations avec vos clients, vous traitez obligatoirement des données personnelles. Et ainsi de suite, jusqu’à avoir listé la totalité des traitements de votre entreprise.

Il faut que vous notiez le traitement réalisé, les données traitées, les personnes qui traitent les données, ainsi que la finalité du traitement. Il est recommandé d’établir un registre des traitements pour vous permettre de faire le point.

Est-ce que vous traitez des données très sensibles ?

Qu’est-ce que sont les données sensibles ? Ce sont les données sur l’origine raciale ou ethnique, les opinions (politiques, philosophiques, religieuses, syndicales), sur la santé, la vie sexuelle, ainsi que les données génétiques et biologiques. Mais il s’agit aussi des données concernant les infractions et les condamnations pénales.

Si vous traitez ce type de données et que vous ne pouvez absolument pas éviter de le faire, vous allez avoir des obligations plus lourdes que la moyenne et vous serez obligé de faire appel à un DPO qui va vous accompagner dans votre mise en conformité. Sinon, il est recommandé d’éviter au maximum de traiter ce type de données pour vous simplifier la vie.

Respectez-vous le principe de minimisation du traitement ?

Kézako ? Vous ne devez collecter que les données strictement nécessaires à l’objectif que vous poursuivez. Par exemple, si vous voulez mettre en place un programme de fidélité pour votre commerce, vous pouvez avoir besoin du prénom/nom, du mail, voire du numéro de téléphone de la personne, mais vous n’aurez pas besoin de sa date de naissance, de son niveau d’étude ou de son orientation sexuelle pour faire fonctionner ce programme.

Avez-vous besoin de désigner un délégué à la protection des données (DPO) ?

Une des grandes nouveautés du RGPD est la création du poste de délégué à la protection des données, autrement appelé DPO (data protection officer). Il s’agit de la personne chargée de la protection des données personnelles dans l’entreprise. Le DPO est là pour que la société respecte la législation sur la protection des données personnelles, comme le comptable est dans la société pour que la comptabilité soit bien faite et respecte la loi. Un certain nombre d’entreprises qui traitent des données personnelles, sous certaines conditions, vont devoir avoir un DPO.

Un délégué à la protection des données doit être désigné dans 3 cas :

  • lorsque vous collectez des données personnelles dont le traitement exige un suivi régulier, systématique et sur une grande ampleur des personnes concernées, comme par exemple : mise en place d’un programme de fidélité clients pour un supermarché ;

  • lorsque vous collectez des données personnelles “sensibles” liées à la santé par exemple, ou en lien avec les infractions et les condamnations pénales. Exemple: vous créez une application mobile qui permet de suivre le niveau d’insuline des gens ;

  • enfin, lorsque les données personnelles sont collectées par une autorité publique, à l’exception des juridictions.

Rassurez vous, les traitements de données dits “auxiliaires”, c’est-à-dire communs à toutes les entreprises ou organisations, comme les traitements liés à la gestion des salaires des employés ou ceux liés à la comptabilité, ne sont pas pris en compte dans l’obligation d’être suivies par un DPO, et donc n’entraînent pas l’obligation d’avoir un DPO, quelle que soit la taille de l’entreprise ou de l’organisation.

Prévoyez-vous de faire des transferts de données hors de l’Union européenne ?

Vous n’avez pas le droit de transférer des données en dehors de l’Union européenne ou des pays suivants : l’Andorre, l’Argentine, le Canada, les États-Unis, le Guernesey, les Île de Man, les Ile Féroé, Israël, Jersey, la Nouvelle-Zélande, la Suisse, l'Uruguay.

Si vous devez transférer des données au-delà de ces pays, il vous faudra prendre des mesures particulières avec le destinataire des données pour qu’elles soient aussi bien protégées dans le pays où vous les envoyez que dans l’Union européenne. C’est une procédure longue et complexe.

Maintenant que vous avez analysé l’usage des données dans votre organisation, il faut décider de ce que vous allez faire pour être en conformité avec le règlement. Vous allez donc devoir vous poser plusieurs questions.

Avez-vous prévu une durée de conservation des données ?

Vous ne pouvez pas garder indéfiniment les données de vos clients. Vous devez donc prévoir des durées de conservation pour les données personnelles que vous avez collectées et veillez à effacer les données une fois la durée dépassée.

Par exemple, supprimez de votre fichier client les informations d’un prospect qui ne répond pas à vos sollicitations depuis 3 ans ou les données d’un client 5 ans après son dernier achat. Mais prévoyez de conserver 10 ans après la commande les informations sur une commande pour gérer le service après-vente de la commande.

Pourquoi avez-vous besoin de traiter des données personnelles ?

Vous pouvez en avoir besoin pour que la personne puisse utiliser votre service. Par exemple, sur Rocket Lawyer, vous êtes obligé de rentrer votre prénom, nom et email pour utiliser notre service. Sans cela, vous ne pourriez pas l’utiliser.

Vous pouvez en avoir besoin pour livrer le produit commandé par votre client, sans son adresse, son prénom et nom, vous ne pourriez pas le faire.

Vous pouvez utiliser les données pour assurer le service après vente de vos produits ou encore permettre de contacter votre service client.

Avez-vous besoin d’engager un DPO ?

Si vous devez en désigner un, le DPO peut être un salarié de votre entreprise. Il peut aussi s’agir d’un salarié spécialement recruté pour tenir ce rôle. Il peut être à temps plein ou à temps partiel. Le DPO peut être une personne extérieure à votre entreprise, un free lance, par exemple, ou encore il pourra être partagé entre plusieurs entreprises. Certaines estimations prévoient que plus de 25 000 postes de DPO pourraient ainsi être créés en France.

Si vous n’avez pas besoin d’engager un DPO, il est recommandé qu’un salarié soit désigné dans votre organisation pour être en charge des questions sur les données personnelles et le RGPD. Ce salarié servira de contact pour les personnes qui veulent faire des réclamations concernant leurs droits. Nous allons traiter cela un peu plus tard dans ce guide.

Maintenant que vous avez analysé les situations, que vous vous êtes posé plein de questions et que vous avez décidé ce que vous alliez faire, il est temps de mettre tout cela en application.

Informez les personnes sur ce que vous faites des données

C’est l’obligation centrale du RGPD, vous devez informer les personnes sur les données que vous collectez sur elles, qui va y avoir accès, la durée de conservation, les objectifs pour lesquels vous avez collecté les données, etc.

Vous devez donner cette information au moment où vous collectez les données. Concrètement ça veut dire quoi ?

Dans le processus d’inscription sur votre site, lorsqu’une personne s’inscrit, généralement vous précisez qu’elle accepte les conditions générales de vente ou d’utilisation lors de son inscription. Il faudra mettre une clause dans ces conditions générales avec toutes les informations exigées par le RGPD.

Lors du recrutement d’un salarié, il faudra l’informer sur les traitements réalisés pour les ressources humaines. Il est recommandé de mettre une clause assez générique dans le contrat de travail et de lui faire signer un document séparé contenant toutes les informations prévues par le règlement dont vous lui remettrez le double. De plus, vous devrez faire de même avec tous vos salariés. Vous pouvez faire cela avec notre document sur l'obligation d'information RGPD de l'employeur

Ou simplement, lors d’une campagne de recrutement, vous allez collecter des données personnelles sur les candidats, le CV et la lettre de motivation étant des données personnelles. Si vous mettez en place un formulaire de candidature en ligne, vous devrez prévoir de donner ces informations quelque part dans ce formulaire.

Adaptez vos contrats et documents juridiques

Dès lors qu’une organisation (entreprise, association, fondation, autre…) récolte des données personnelles, il va être nécessaire de prévoir une clause pour respecter les obligations du RGPD, notamment l’obligation d’information vue ci-dessus.

Pour vous donner un exemple, dans vos conditions générales de vente, vous devez prévoir une clause spécifique précisant vos obligations et votre politique de traitement, de conservation, et de protection des droits des utilisateurs.

Si vous voulez être dans les règles, établissez et mettez à jour vos CGV ou vos CGU, vos mentions légales et votre politique de confidentialité avec Rocket Lawyer.

Ou encore, dans le cas où vous faites sous-traiter une activité comme vos ressources humaines par une autre entreprise et que vous lui envoyez des données personnelles, vous serez obligé-e de faire un avenant de protection des données personnelles RGPD

Mettez en place un registre des données personnelles utilisées dans votre entreprise

Partez du principe que vous devez mettre en place un registre des traitements de données personnelles réalisés dans l’entreprise. C’est seulement si vous réalisez un traitement occasionnel que vous n’y êtes pas obligé. Par exemple, si vous traitez les données d’un client pour le service après-vente, vous ne serez pas obligé de le répertorier dans le registre, car c’est un traitement occasionnel. Mais si vous collectez les données de vos clients à chaque fois qu’ils font un achat, ce traitement n’est pas occasionnel.

Pour chaque traitement de données, le responsable de traitement doit lister :

•   les coordonnées du responsable de traitement (et du délégué à la protection des données le cas échéant) ;

•   les finalités du traitement ;

•   les catégories de personnes concernées et les catégories de données à caractère personnel ;

•   les catégories de destinataires des données personnelles ;

•   les transferts de données à caractère personnel vers un pays tiers (le cas échéant) ;

•   les délais prévus pour l'effacement des différentes catégories de données ;

•   une description générale des mesures de sécurité techniques et organisationnelles.

Permettez aux personnes d’exercer facilement leurs droits

Le RGPD donne de nombreux droits aux personnes pour contrôler ce qui est fait de leurs données : droit à la portabilité, droit à l’oubli, droit d’accès, etc.

Vous devrez avoir dans votre entreprise une personne chargée de gérer ces demandes (sauf si vous avez un DPO, ce sera alors une des missions du DPO). Il est recommandé de soigner particulièrement le suivi de ces demandes, puisqu’une personne insatisfaite aura tendance à saisir la CNIL. Cela pourra mener à un contrôle de la CNIL pour vérifier votre conformité avec le RGPD et une amende potentielle si vous n’êtes pas conforme.

Mettez donc en place un processus interne permettant de garantir le traitement des demandes dans un délai court, un mois maximum.

Sécurisez les données personnelles que vous stockez

Il faut prendre des mesures informatiques et physiques pour garantir la sécurité des données. Le niveau d’exigence de ces mesures va dépendre de la sensibilité des données traitées, plus celles-ci seront sensibles, plus l’exigence doit être élevée.

Des mesures concrètes doivent être prises : mises à jour régulières des antivirus et logiciels, changement régulier de mots de passe et utilisation de mots de passe complexes ou encore chiffrement des données.

Prenez contact avec votre responsable informatique ou votre prestataire pour voir avec lui comment prendre les mesures nécessaires.

Si vous avez un doute ou besoin d'aide, vous pouvez poser une question juridique.

Suivez-nous