Ravis de vous revoir ! Votre démarche a été enregistrée  🚀 Reprendre ma démarche
Reprendre ma démarche
illustration recherche
Comment pouvons-nous vous aider aujourd’hui ?

Recherchez parmi nos prestations, articles, guides...

01 83 81 67 25
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. Conformité avec le RGPD : 4 actions à mettre en place !

Conformité avec le RGPD : 4 actions à mettre en place !

Télécharger l'article
Maxime Wagner
Écrit par Maxime Wagner. Co-fondateur de Captain Contrat. Diplômé de Centrale Lille et l'ESSEC.
  • Relu par Pierre-Florian Dumez.
  • 3 min

    • Même si la limite de mise en place du RGPD (Règlement Général de Protection des Données) a été fixée à fin mai 2018 et que des adaptations peuvent voir le jour d’ici là, il est plus que conseillé dès maintenant de mettre en place quelques actions concrètes pour être en conformité avec cette loi qui révolutionne la collecte et le traitement des données.

     

     

    Le RGPD expliqué en deux minutes

     

     

    Voici donc 4 actions concrètes à mener pour être quasiment prêt pour le RGPD !

     

     

    1 – Lister toutes les collectes et traitements de données personnelles faites dans l’entreprise

     

    Le RGPD a redéfini ce que sont les données « personnelles », à savoir les données permettant d’identifier une personne : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »

    Si l’entreprise collecte (en interne -par exemple pour des besoins RH- ou en externe) des données qui permettent d’identifier une personne (adresse, mail, nom, prénom, localisation mais aussi simple adresse IP), que ce soit directement ou via un prestataire, alors elle doit commencer par recenser toutes les actions de collectes de données ainsi que les traitements qui en sont faits.

    Pour chaque collecte ou traitement, il faut savoir :

    • ce qui est collecté ou traité (quelles données exactement) ;
    • d’où les données sont récupérées ;
    • où les données sont stockées ;
    • à qui ou à quel traitement les données sont soumises.

     

    Pour en savoir plus, découvrez comment nos équipes se sont organisées en interne pour y arriver !

     

    2 – Vérifier si les données que l’on collecte ou traite sont bien uniquement celles dont on a besoin

     

    Ce point est un des plus délicats du RGPD. La loi veut en effet qu’on ne collecte uniquement que les données dont on a besoin dans le cadre de son business. Or en pratique, on collecte souvent plus de données que nécessaire.

    Dans un premier temps, avant qu’on ne sache exactement comment va s’appliquer le RGPD concrètement, il est nécessaire de savoir exactement si les données qu’on collecte ou qu’on traite sont celles dont on a besoin pour l’activité de l’entreprise ou si on en récupère ou traite d’autres.

     

    3 – Revoir les contrats des sous-traitants qui traitent ou transmettent des données

     

    Les sous-traitants d’une entreprise qui sont concernés par le RGPD peuvent être des prestataires de services informatiques (hébergement, sécurité, sauvegarde, etc..) ou des prestataires de marketing , de communication, de maintenance, etc.

    Si de par la nature de leurs travaux, ces prestataires ont accès aux données personnelles de l’entreprise, alors il faut sécuriser ceci et notamment changer la nature du contrat que l’on a avec eux.

    Le nouveau règlement européen induit en effet une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles (qu’ils soient ou non établis au sein de l’UE ), dès lors que ces dernières concernent des résidents européens.

    Des obligations spécifiques sont imposées aux sous-traitants qui doivent aider les responsables de traitements dans leur démarche de mise en conformité des traitements.

    La loi exige « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du RGPD).

    Ainsi, les contrats avec les sous-traitants doivent mentionner la réalité des dispositions de l’article 28 RGPD (article spécifique aux sous-traitants) avec notamment :

    • l’objet et la durée de la prestation effectuée pour le compte du client ;
    • le type de données à caractère personnel que vous traitez pour le compte de votre client ;
    • les catégories de personnes concernées ;
    • vos obligations et vos droits en tant que responsable de traitement ;
    • l’engagement du sous-traitant de signaler immédiatement toute fuite de données.

     

    Il est conseillé également de mettre par écrit les instructions données au sous-traitant afin de prouver le cas échéant sa bonne foi et ceci implique de décrire précisément les traitements qui lui sont demandés.

    Par ailleurs, il faut que le sous-traitant indique si lui-même fait appel à des sous-traitants ou pas (et dans ce cas, outre le fait de le permettre ou pas, il faut lui demander de garantir qu’il leur a imposé les dispositions du RGPD).

    Le sous-traitant doit également garantir que ses outils, applications, services respectent le RGPD notamment en ce qui concerne la quantité de données collectées, l’étendue de leur traitement, la durée de conservation et le nombre de personnes qui y a accès.

     

    À noter :
    Les employés du sous-traitant doivent être soumis à une obligation de confidentialité.

     

    4 - Assurer le respect des droits des personnes concernées par leurs données personnelles (accès, rectification, portabilité, suppression)

     

    Selon le RGPD, toute personne dont les données personnelles sont dans une entreprise a plusieurs droits.

    Accès et rectification :

    • droit d’accès aux informations et droit de rectification.

     

    Portabilité :

    • Droit d’obtenir les données dans un format structuré, couramment utilisé et lisible par une machine ;
    • Droit de transférer les données directement auprès d’un nouveau responsable du traitement.

     

    Droit d’opposition :

    • La personne peut s’opposer à tout moment, au traitement de ses données y compris pour le profilage ;
    • Le responsable du traitement doit informer la personne concernée de son droit d'opposition « au plus tard au moment de la première communication avec la personne concernée » ;

     

    Il est à noter qu’en ce qui concerne le droit d’opposition, le responsable du traitement évalue le droit de la personne concernée au non traitement de ses données et doit aussi prendre en compte les motifs légitimes à poursuivre ce traitement malgré cette opposition. La décision éventuelle de continuer doit être motivée.

    Par ailleurs, si le traitement est « nécessaire à l'exécution d'une mission d'intérêt public », les personnes concernées ne peuvent s'y opposer avec succès.

     

     
    Maxime Wagner
    Écrit par Maxime Wagner
    Maxime Wagner est diplômé de Centrale Lille et d'un MBA à l'ESSEC. Il démarre sa carrière dans la distribution, où il s'intéresse aux méthodes de management et d'organisation ainsi qu'aux problématiques d'innovation. Fin 2012, il quitte Carrefour et lance, avec Philippe, Captain Contrat. Son objectif : lancer une start-up à impact positif sur la société et dans laquelle chacun est heureux de travailler.
    Relu par Pierre-Florian Dumez. Diplômé en droit

    Une question ? Laissez votre commentaire

    Vos coordonnées sont obligatoires afin que l’on puisse vous répondre
    4.6 (1693 avis)
    4.3 (1334 avis)
    Besoin de conseils juridiques ?
    Je consulte un avocat

    Ces articles pourraient également vous intéresser

    RGPD et e-commerce : 4 actions concrètes à mener en 2025
    RGPD et e-commerce : 4 actions concrètes à mener en 2025
    Le RGPD (règlement général de protection des données) pose depuis mai 2018 un cadre sur l'utilisation, l'échange ou encore la récupération des données personnelles. Des sanctions sont prévues en cas de non respect. Quelles sont alors les actions à mettre en place en présence d'un site e-commerce ?
    - 4 min
    RGPD : qui est concerné ?
    RGPD : qui est concerné ?
    Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.
    - 3 min
    RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
    RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
    L'entrée en vigueur d'un nouveau texte sur la protection des données personnelles n'est pas sans conséquences pour les entreprises. Comment bien être en règle ?
    - 3 min
    La sensibilisation de l'entreprise au RGPD : une étape obligatoire
    La sensibilisation de l'entreprise au RGPD : une étape obligatoire
    La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité
    - 6 min
    Règlement européen sur la protection des données : êtes-vous à jour ?
    Règlement européen sur la protection des données : êtes-vous à jour ?
    Un nouveau texte sur la protection des données personnelles entre prochainement en vigueur. Découvrez ce qu'il comportera pour rester à jour.
    - 3 min
    RGPD et équipes techniques : comment s'organiser ?
    RGPD et équipes techniques : comment s'organiser ?
    L'arrivée prochaine du RGPD force les entreprises et leurs équipes techniques à s'organiser et prendre les mesures adéquates pour se mettre en conformité
    - 4 min
    Startup et RGPD : les 5 questions les plus posées
    Startup et RGPD : les 5 questions les plus posées
    Dirigeant de startup, votre entreprise est sans doute concernée par le RGPD. Comment vous mettre en conformité ? Quelles sont les questions à vous poser ? Me David Smadja avocat spécialisé fait le point et vous livre ses conseils.
    - 8 min
    Sous traitants et RGPD : comment être conforme ?
    Sous traitants et RGPD : comment être conforme ?
    Le RGPD ne fait pas uniquement peser des obligations sur les responsables de traitement des données : il met aussi en place des obligations particulières pour les sous-traitants.
    - 5 min
    CGV conformes au RGPD : quelles sont les modifications à apporter ?
    CGV conformes au RGPD : quelles sont les modifications à apporter ?
    Vous êtes concernés par le RGPD mais n'avez pas encore pris les mesures pour vous mettre en conformité ? La première étape consiste à mettre à jour vos CGV. Le point dans cet article
    - 4 min
    Portabilité des données : que va permettre le RGPD ?
    Portabilité des données : que va permettre le RGPD ?
    Le RGPD consacre un principe relatif à la portabilité des données offrant la possibilité aux personnes d'obtenir, utiliser et transférer leurs propres données
    - 2 min