Votre avis nous intéresse ! Aidez-nous à améliorer votre expérience et bénéficiez de -10% sur votre prochaine commande en cliquant ici.
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. Déclarations CNIL : quel est l'impact du nouveau règlement ?

Déclarations CNIL : quel est l'impact du nouveau règlement ?

Maxime Wagner
Écrit par Maxime Wagner Cofondateur de Captain Contrat et diplômé de Centrale Lille et de l'ESSEC

Le 25 mai 2018, entrera en application le Règlement général sur la protection des données (RGPD) qui vient moderniser la règlementation en matière de protection de données. Ce texte modifie à plusieurs niveaux les obligations actuelles en matière de traitement des données personnelles, aussi bien en terme de collecte que de traitement.

En France, l’une des modifications majeures qu'implique ce règlement dans le contrôle de la gestion des données personnelles concerne le rôle de la Commission Nationale de l’Informatique et des Libertés (CNIL). Le RGPD vient remodeler le contrôle qu’exerce la CNIL. En effet, conformément à loi Informatique et Libertés actuellement en vigueur, les entreprises procédant à des traitements de données doivent effectuer des déclarations à la CNIL et obtenir de celle-ci des autorisations. Mais le RGPD vient supprimer cette déclaration et renforcer la responsabilité de chaque société.

 

 

De nouvelles mesures à prendre

 

Le Règlement Général sur la Protection des Données instaure de nouveaux principes dans le système de protection de données : le privacy by design, privacy by default et l’Accountability. C’est cette dernière qui consacre la logique de responsabilisation. En effet, ce principe met fin aux formalités préalables auprès de la CNIL et oblige les entreprises à prendre les mesures nécessaires en vue de garantir le respect du règlement. Le RGDP consacre donc une absence d’obligation préalable de déclaration, mais les entreprises doivent procéder à la mise en place d’outils internes d’audit. À la demande de l’autorité de contrôle, chaque entreprise doit être en mesure de prouver la conformité de leur traitement aux dispositions du RGDP. Pour ce faire, elles doivent :

  • Ne collecter que les données nécessaires à l'activité de l'entreprise ;
  • Obtenir le consentement des personnes pour collecter leurs données personnelles, de manière claire et simple et indépendamment d'autres processus et sans leur interdire un service en cas de refus d'utilisation de données;
  • Tenir à jour un registre des traitements,
  • Rédiger une charte de bonnes pratiques ;
  • Désigner un Data Protection Officer (DPO) si la situation l'impose

Comment s’y prendre concrètement ?

 

Il est important de faire un audit sur les outils mis en place au sein de votre société ce qui concerne le traitement des données personnelles. Pour ce faire :

Cartographiez les traitements

Il s’agit de faire un inventaire des traitements afin d’identifier les processus qui sont concernés par le règlement. Après l’identification, il faut ensuite évaluer le niveau de conformité des moyens mis en place en les soumettant à une étude d’impacts. C’est une mesure prévue par le règlement général sur la protection des données.

Révisez les contrats avec les fournisseurs

Le RGDP instaure le principe de coresponsabilité qui met fin à l’immunité dont bénéficiaient les sous-traitants des entreprises faisant des traitements de données. Désormais, le contrat signé avec des prestataires ou sous-traitants dans le cadre du traitement de données doit comporter certaines clauses, notamment des clauses de confidentialité. Ces clauses doivent bien définir quelles sont leurs nouvelles obligations.

Mettez en place un registre des traitements

C’est une obligation consacrée par l’article 30 du RGDP. Selon ledit article, toute entreprise employant plus de 250 personnes a l’obligation de tenir un registre qui comportera l’ensemble de ces traitements. C’est une obligation aussi bien à la charge du responsable de traitement que du sous-traitant. L’autorité de contrôle (CNIL) peut décider à tout moment de consulter ce registre. Le registre doit comporter des informations telles que le nom et les coordonnées du responsable de traitement, les destinataires des données, les finalités des traitements, etc. Ici, également, vous pouvez trouver sur internet des modèles de registre sur internet. Mais il est toujours mieux de faire recours aux avocats. Les modèles peuvent être incomplets ou comporter de fausses informations. Cela vous exposerait à des risques de rejet.

Définir une politique avantageuse et rédiger une charte de bonnes pratiques

 

Afin de sécuriser les données dans la durée, il est important d’avoir un bon plan d’action. Après l’identification des traitements concernés par le règlement et la procédure de certification, il faut revoir les modalités d’exercice des droits des personnes, depuis le recueil de consentement jusqu’au droit à l’oubli. Il faut également redéfinir des paramètres tels que la durée de conservation des données, les finalités des traitements, etc. Cela implique donc une révision de la politique de confidentialité. Vous pouvez confier votre dossier aux avocats de Captain Contrat qui se chargeront de vous élaborer une politique solide, en conformité avec le règlement. De la même manière, ils peuvent se charger de mettre en place une charte de bonnes pratiques en vue d’optimiser la sécurité au sein de votre entreprise.


Pour conclure, il faut retenir que le règlement européen qui entre en vigueur le 25 mai 2018 supprime les formalités préalables qui se faisaient auprès de la CNIL. Désormais, les entreprises qui effectuent des traitements de données ne sont plus obligées de faire une déclaration auprès de l’autorité de contrôle. Cependant, elles sont tenues de mettre en place certaines mesures en vue de garantir le respect de la vie privée des personnes. Pour être sûr de bien respecter toutes ces mesures, vous pouvez solliciter l’accompagnement de Captain Contrat qui met à votre disposition de nombreuses ressources afin de vous aider dans le processus de mise en conformité.

 

Besoin d'être accompagné ?
Je rédige ma charte de confidentialité

Ces articles pourraient également vous intéresser

RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?

L'entrée en vigueur d'un nouveau texte sur la protection des données personnelles n'est pas sans conséquences pour les entreprises. Comment bien être en règle ?

La sensibilisation de l'entreprise au RGPD : une étape obligatoire
5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?

Un nouveau texte sur la protection des données personnelles entre prochainement en vigueur. Découvrez ce qu'il comportera pour rester à jour.

Qu’est-ce que la charte des données personnelles d’un site internet ?
2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

Les limites de la protection des données personnelles du salarié
4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

Pourquoi adopter une charte des données personnelles ?
3 min
Pourquoi adopter une charte des données personnelles ?

Le partage de données personnelles est une pratique courante mais non sans risques. Votre entreprise est-elle en règle et respectueuse de la loi?

RGPD et e-commerce : 4 actions concrètes à mener en 2023
4 min
RGPD et e-commerce : 4 actions concrètes à mener en 2023

Le RGPD (règlement général de protection des données) pose depuis mai 2018 un cadre sur l'utilisation, l'échange ou encore la récupération des données personnelles. Des sanctions sont prévues en cas de non respect. Quelles sont alors les actions à mettre en place en présence d'un site e-commerce ?

RGPD : qui est concerné ?
3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Qu’est-ce qu’une charte/politique de confidentialité ?
5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs.

Délégué à la protection des données (DPO) : quel est son rôle ? (2023)
5 min
Délégué à la protection des données (DPO) : quel est son rôle ? (2023)

Le 25 mai 2018 est entré en vigueur le RGPD (Règlement Général de Protection des Données). Un nouvel acteur a émergé avec ce Règlement : le DPO (Délégué à la Protection des Données). Chargé d'accompagner et contrôler la mise en conformité de l'entité qui le nomme, sa présence est parfois obligatoire.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier