Déclarations CNIL : quel est l'impact du nouveau règlement ?

par
5
Je rédige ma charte de confidentialité
Je rédige ma charte de confidentialité

Sommaire

  1. De nouvelles mesures à prendre
  2. Comment s’y prendre concrètement ?
  3. Définir une politique avantageuse et rédiger une charte de bonnes pratiques
Je rédige ma charte de confidentialité

Le 25 mai 2018, entrera en application le Règlement général sur la protection des données (RGPD) qui vient moderniser la règlementation en matière de protection de données. Ce texte modifie à plusieurs niveaux les obligations actuelles en matière de traitement des données personnelles, aussi bien en terme de collecte que de traitement.

En France, l’une des modifications majeures qu'implique ce règlement dans le contrôle de la gestion des données personnelles concerne le rôle de la Commission Nationale de l’Informatique et des Libertés (CNIL). Le RGPD vient remodeler le contrôle qu’exerce la CNIL. En effet, conformément à loi Informatique et Libertés actuellement en vigueur, les entreprises procédant à des traitements de données doivent effectuer des déclarations à la CNIL et obtenir de celle-ci des autorisations. Mais le RGPD vient supprimer cette déclaration et renforcer la responsabilité de chaque société.

 

De nouvelles mesures à prendre

 

Le Règlement Général sur la Protection des Données instaure de nouveaux principes dans le système de protection de données : le privacy by design, privacy by default et l’Accountability. C’est cette dernière qui consacre la logique de responsabilisation. En effet, ce principe met fin aux formalités préalables auprès de la CNIL et oblige les entreprises à prendre les mesures nécessaires en vue de garantir le respect du règlement. Le RGDP consacre donc une absence d’obligation préalable de déclaration, mais les entreprises doivent procéder à la mise en place d’outils internes d’audit. À la demande de l’autorité de contrôle, chaque entreprise doit être en mesure de prouver la conformité de leur traitement aux dispositions du RGDP. Pour ce faire, elles doivent :

  • Ne collecter que les données nécessaires à l'activité de l'entreprise ;
  • Obtenir le consentement des personnes pour collecter leurs données personnelles, de manière claire et simple et indépendamment d'autres processus et sans leur interdire un service en cas de refus d'utilisation de données;
  • Tenir à jour un registre des traitements,
  • Rédiger une charte de bonnes pratiques ;
  • Désigner un Data Protection Officer (DPO) si la situation l'impose

Comment s’y prendre concrètement ?

 

Il est important de faire un audit sur les outils mis en place au sein de votre société ce qui concerne le traitement des données personnelles. Pour ce faire :

Cartographiez les traitements

Il s’agit de faire un inventaire des traitements afin d’identifier les processus qui sont concernés par le règlement. Après l’identification, il faut ensuite évaluer le niveau de conformité des moyens mis en place en les soumettant à une étude d’impacts. C’est une mesure prévue par le règlement général sur la protection des données.

Révisez les contrats avec les fournisseurs

Le RGDP instaure le principe de coresponsabilité qui met fin à l’immunité dont bénéficiaient les sous-traitants des entreprises faisant des traitements de données. Désormais, le contrat signé avec des prestataires ou sous-traitants dans le cadre du traitement de données doit comporter certaines clauses, notamment des clauses de confidentialité. Ces clauses doivent bien définir quelles sont leurs nouvelles obligations.

Mettez en place un registre des traitements

C’est une obligation consacrée par l’article 30 du RGDP. Selon ledit article, toute entreprise employant plus de 250 personnes a l’obligation de tenir un registre qui comportera l’ensemble de ces traitements. C’est une obligation aussi bien à la charge du responsable de traitement que du sous-traitant. L’autorité de contrôle (CNIL) peut décider à tout moment de consulter ce registre. Le registre doit comporter des informations telles que le nom et les coordonnées du responsable de traitement, les destinataires des données, les finalités des traitements, etc. Ici, également, vous pouvez trouver sur internet des modèles de registre sur internet. Mais il est toujours mieux de faire recours aux avocats. Les modèles peuvent être incomplets ou comporter de fausses informations. Cela vous exposerait à des risques de rejet.

Définir une politique avantageuse et rédiger une charte de bonnes pratiques

 

Afin de sécuriser les données dans la durée, il est important d’avoir un bon plan d’action. Après l’identification des traitements concernés par le règlement et la procédure de certification, il faut revoir les modalités d’exercice des droits des personnes, depuis le recueil de consentement jusqu’au droit à l’oubli. Il faut également redéfinir des paramètres tels que la durée de conservation des données, les finalités des traitements, etc. Cela implique donc une révision de la politique de confidentialité. Vous pouvez confier votre dossier aux avocats de Captain Contrat qui se chargeront de vous élaborer une politique solide, en conformité avec le règlement. De la même manière, ils peuvent se charger de mettre en place une charte de bonnes pratiques en vue d’optimiser la sécurité au sein de votre entreprise.


Pour conclure, il faut retenir que le règlement européen qui entre en vigueur le 25 mai 2018 supprime les formalités préalables qui se faisaient auprès de la CNIL. Désormais, les entreprises qui effectuent des traitements de données ne sont plus obligées de faire une déclaration auprès de l’autorité de contrôle. Cependant, elles sont tenues de mettre en place certaines mesures en vue de garantir le respect de la vie privée des personnes. Pour être sûr de bien respecter toutes ces mesures, vous pouvez solliciter l’accompagnement de Captain Contrat qui met à votre disposition de nombreuses ressources afin de vous aider dans le processus de mise en conformité.

Maxime

Écrit par

Maxime

Après avoir travaillé en finance à l'international puis dans la grande distribution en France, Maxime est devenu dirigeant d'entreprise. En contact avec de nombreux entrepreneurs, sa mission est de simplifier l'accès au droit grâce au numérique et favoriser le développement de l'entrepreneuriat en France.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier