1. Gestion
  2. Politique de confidentialité - RGPD
  3. Infographie : les étapes pour être conforme avec le RGPD

Infographie : les étapes pour être conforme avec le RGPD

Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD
Amélie Gautier
Écrit par Amélie Gautier

Diplômée d'un Master II en droit des affaires de l'Université de Versailles Saint-Quentin-en Yvelines, Amélie est responsable du contenu juridique de Captain Contrat depuis 2017.


Ce n’est désormais plus une surprise, le RGPD, règlement général sur la protection des données (GDPR en anglais) entrera en vigueur le 25 mai 2018.  Pour la plupart des entreprises, le sujet est complexe et vous êtes plusieurs parmi nos clients à nous poser des questions sur le sujet. Pour vous aider à y voir plus clair, Captain Contrat vous a préparé cette infographie :

Infographie comment se mettre en conformité avec le RGPD ?

 

 

 

RGPD : Decryptage de nos experts

 

En l’état actuel, le respect de la protection des données est régi par une directive européenne de 1995.

Mais le reflet de nouvelles pratiques a fait naitre de nouveaux besoins en termes de protection des données. En effet, les entreprises traitent de plus en plus d'informations, elles mêmes de plus en plus personnelles et signifiantes.

C'est en outre, la raison pour laquelle un nouveau règlement européen sur la protection des données a été adopté. Ce règlement, d’application directe (sans transposition) vient étendre le champ d’application de la directive actuelle. Aujourd’hui, cette dernière ne s’applique qu’aux établissements ou au moyen de traitement présent sur le territoire d’un état membre de l’UE. Demain, toute organisation mondiale traitant, sous traitant ou stockant les données personnelles de citoyens européens sera soumise à ces nouvelles obligations.

 

Le RGPD pour les PME, les TPE et les startups : on vous explique, en vidéo

 

 

Les objectifs du règlement

 

L’ensemble des évolutions techniques et sociologiques telles que le développement des réseaux sociaux, ou encore du Cloud, sont postérieures à la Directive actuelle. Il convenait donc de prendre de nouvelles dispositions afin de renforcer les droits des personnes dont les données sont traitées.

Le second objectif de la réforme vise à responsabiliser les acteurs traitant les données à caractère personnel. A cela, viendra s’ajouter naturellement un troisième objectif, celui de renforcer la confiance des consommateurs et participer ainsi au développement des entreprises.

De même, la Directive actuelle transposée dans les 28 états membres de l’Union Européenne, impliquent de fait 28 interprétations différentes quant à l’application du respect de la protection des données. L’un des objectifs de la réforme est donc d’harmoniser ces règles au sein de l’UE.

Cette harmonisation viendra également renforcer la coopération entre les autorités des protections des données.

 

Les acteurs du règlement

 

Demeurent présents les mêmes acteurs que sous la Directive, à savoir le responsable de traitement et le sous-traitant.

Le responsable de traitement détermine les finalités et les moyens du traitement des données.

Le sous-traitant traite quant à lui des données au nom et pour le compte du responsable de traitement.

L’obligation de conclure un contrat demeure, mais celui-ci devra mentionner plusieurs informations telles que la finalité du traitement confié, la durée de ce traitement, le type de données personnelles concernées etc.

Apparait également avec le nouveau règlement, la notion de co-responsable de traitement, lorsque deux entreprises décident conjointement de la finalité du traitement.

Mais le changement le plus notable concerne la responsabilité du sous-traitant. En effet, la responsabilité ne pèse désormais plus uniquement sur le responsable de traitement.

 

Les nouvelles obligations prévues par le règlement

 

Le principe d’Accountability et la tenue du registre de traitement des données

Le règlement marque la fin des formalités préalables à fournir auprès de la CNIL. Cet allègement est en revanche contrebalancé par le nouveau principe d’Accountability.

Cette notion signifie que les organisations doivent respecter les principes prévus par le règlement mais aussi être en mesure de documenter et prouver ce respect. En résulte notamment l’obligation de tenir un registre des activités de traitement.

Chaque entreprise devra ainsi mettre en place un processus interne afin de répertorier les traitements et décrire les mesures de sécurité qui s’y appliquent.

 

L’analyse / l'étude d’impact

Le règlement ajoute l’obligation pour les entreprises de réaliser des audits de traitements quotidiens et de sensibiliser les employés à ces nouvelles obligations. Le responsable de traitement se doit d’apprécier les risques que peuvent présenter de nouveaux traitements et mettre en place les mesures adaptées afin de sécuriser ces traitements.

 

La désignation d'un Data Protection Officer (DPO)

Le règlement liste les responsables de traitement ayant l'obligation de  désigner ce DPO. Sont notamment concernées les Autorités publiques, ou encore les entreprises dont l’activité principale implique un traitement de données à grande échelle.

Ce DPO a notamment un devoir d’information et de conseil auprès de l’entreprise et ses employés. Il contrôle également le respect du règlement et constitue le lien entre l’entreprise et l’autorité.

 

L’obligation de sécurité et la notification des failles de sécurité

L’obligation de sécurité s’applique au responsable de traitement et au sous-traitant. Sa mise en œuvre est encadrée par le règlement.

S’ajoute l’obligation pour le responsable de traitement de prévenir les failles de sécurité auprès des autorités de contrôle et personnes concernées. Le sous-traitant a l’obligation de notifier ces failles au responsable de traitement.

 

Les droits des personnes dont les données sont traitées

Le droit à la transparence est renforcé, impliquant la communication de plus d’informations par le responsable de traitement. Ces informations doivent ainsi figurer de manière apparente sur les sites internet. Le recueil de consentement est également renforcé. Celui-ci doit être exprimé dans une déclaration expressément rédigée ou via une case cochée. De même, le consentement doit pouvoir être retiré à tout moment.

Apparaît également un droit à la portabilité des données, c’est à dire la possibilité pour le consommateur/client de récupérer les données fournies sous une forme aisément réutilisable.

Enfin, s’ajoute le droit à l’oubli numérique impliquant la possibilité de supprimer les données si aucun motif ne justifie leur conservation ou si le consentement a été retiré .

 

Des sanctions aggravées

Le règlement s’accompagne d’une harmonisation des sanctions mais aussi et surtout d’une aggravation significative de celles-ci.

Outre le maintien des sanctions pénales et les sanctions liées au risque d’image commercial de l’entreprise s’ajoute les sanctions à caractère pécuniaire.

Les entreprises récalcitrantes risqueront jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel en cas de manquements relatifs au règlement et jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel en cas de manquement aux droits des personnes (droit d’accès, droit à l’oubli etc.)

Mieux vaut donc se préparer face à ce chantier phare de 2018.

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Julien Smadja décrypte pour vous le contenu et l'importance de ce document.

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier