1. Gestion
  2. Politique de confidentialité - RGPD
  3. Déclarations CNIL : quel est l'impact du nouveau règlement ?

Déclarations CNIL : quel est l'impact du nouveau règlement ?

Je rédige ma charte de confidentialité
Je rédige ma charte de confidentialité
Maxime Wagner
Écrit par Maxime Wagner
Cofondateur de Captain Contrat, Maxime a débuté en analyse de risque financier et a évolué sur des enjeux d'innovation dans la distribution. Il est diplômé de Centrale Lille et l'ESSEC.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Le 25 mai 2018, entrera en application le Règlement général sur la protection des données (RGPD) qui vient moderniser la règlementation en matière de protection de données. Ce texte modifie à plusieurs niveaux les obligations actuelles en matière de traitement des données personnelles, aussi bien en terme de collecte que de traitement.

En France, l’une des modifications majeures qu'implique ce règlement dans le contrôle de la gestion des données personnelles concerne le rôle de la Commission Nationale de l’Informatique et des Libertés (CNIL). Le RGPD vient remodeler le contrôle qu’exerce la CNIL. En effet, conformément à loi Informatique et Libertés actuellement en vigueur, les entreprises procédant à des traitements de données doivent effectuer des déclarations à la CNIL et obtenir de celle-ci des autorisations. Mais le RGPD vient supprimer cette déclaration et renforcer la responsabilité de chaque société.

 

 

De nouvelles mesures à prendre

 

Le Règlement Général sur la Protection des Données instaure de nouveaux principes dans le système de protection de données : le privacy by design, privacy by default et l’Accountability. C’est cette dernière qui consacre la logique de responsabilisation. En effet, ce principe met fin aux formalités préalables auprès de la CNIL et oblige les entreprises à prendre les mesures nécessaires en vue de garantir le respect du règlement. Le RGDP consacre donc une absence d’obligation préalable de déclaration, mais les entreprises doivent procéder à la mise en place d’outils internes d’audit. À la demande de l’autorité de contrôle, chaque entreprise doit être en mesure de prouver la conformité de leur traitement aux dispositions du RGDP. Pour ce faire, elles doivent :

  • Ne collecter que les données nécessaires à l'activité de l'entreprise ;
  • Obtenir le consentement des personnes pour collecter leurs données personnelles, de manière claire et simple et indépendamment d'autres processus et sans leur interdire un service en cas de refus d'utilisation de données;
  • Tenir à jour un registre des traitements,
  • Rédiger une charte de bonnes pratiques ;
  • Désigner un Data Protection Officer (DPO) si la situation l'impose

Comment s’y prendre concrètement ?

 

Il est important de faire un audit sur les outils mis en place au sein de votre société ce qui concerne le traitement des données personnelles. Pour ce faire :

Cartographiez les traitements

Il s’agit de faire un inventaire des traitements afin d’identifier les processus qui sont concernés par le règlement. Après l’identification, il faut ensuite évaluer le niveau de conformité des moyens mis en place en les soumettant à une étude d’impacts. C’est une mesure prévue par le règlement général sur la protection des données.

Révisez les contrats avec les fournisseurs

Le RGDP instaure le principe de coresponsabilité qui met fin à l’immunité dont bénéficiaient les sous-traitants des entreprises faisant des traitements de données. Désormais, le contrat signé avec des prestataires ou sous-traitants dans le cadre du traitement de données doit comporter certaines clauses, notamment des clauses de confidentialité. Ces clauses doivent bien définir quelles sont leurs nouvelles obligations.

Mettez en place un registre des traitements

C’est une obligation consacrée par l’article 30 du RGDP. Selon ledit article, toute entreprise employant plus de 250 personnes a l’obligation de tenir un registre qui comportera l’ensemble de ces traitements. C’est une obligation aussi bien à la charge du responsable de traitement que du sous-traitant. L’autorité de contrôle (CNIL) peut décider à tout moment de consulter ce registre. Le registre doit comporter des informations telles que le nom et les coordonnées du responsable de traitement, les destinataires des données, les finalités des traitements, etc. Ici, également, vous pouvez trouver sur internet des modèles de registre sur internet. Mais il est toujours mieux de faire recours aux avocats. Les modèles peuvent être incomplets ou comporter de fausses informations. Cela vous exposerait à des risques de rejet.

Définir une politique avantageuse et rédiger une charte de bonnes pratiques

 

Afin de sécuriser les données dans la durée, il est important d’avoir un bon plan d’action. Après l’identification des traitements concernés par le règlement et la procédure de certification, il faut revoir les modalités d’exercice des droits des personnes, depuis le recueil de consentement jusqu’au droit à l’oubli. Il faut également redéfinir des paramètres tels que la durée de conservation des données, les finalités des traitements, etc. Cela implique donc une révision de la politique de confidentialité. Vous pouvez confier votre dossier aux avocats de Captain Contrat qui se chargeront de vous élaborer une politique solide, en conformité avec le règlement. De la même manière, ils peuvent se charger de mettre en place une charte de bonnes pratiques en vue d’optimiser la sécurité au sein de votre entreprise.


Pour conclure, il faut retenir que le règlement européen qui entre en vigueur le 25 mai 2018 supprime les formalités préalables qui se faisaient auprès de la CNIL. Désormais, les entreprises qui effectuent des traitements de données ne sont plus obligées de faire une déclaration auprès de l’autorité de contrôle. Cependant, elles sont tenues de mettre en place certaines mesures en vue de garantir le respect de la vie privée des personnes. Pour être sûr de bien respecter toutes ces mesures, vous pouvez solliciter l’accompagnement de Captain Contrat qui met à votre disposition de nombreuses ressources afin de vous aider dans le processus de mise en conformité.

 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier