RGPD ou Règlement Général sur la Protection des Données

MISE EN CONFORMITE RGPD (REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES)

Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute organisation (entrepreneurs indépendants, TPE, PME, TGE, collectivités, associations, organismes publics) qui collecte, stocke ou traite des données personnelles sur des citoyens européens, quelle que soit sa taille ou son activité. 

La première étape de la mise en conformité RGPD (entrée en vigueur le 25 mai 2018) consiste de façon obligatoire à la mise en oeuvre et réalisation des "registres des activités de traitement" de l'entreprise ou l'organisation (recensement des traitements de données et vue d'ensemble de leur utilisation). En pratique ces registres sont à mettre à jour dès qu'il y a une modification aux conditions de mise en oeuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire, ...). Cela permet aussi de montrer l'amélioration continue à travers le suivi des plans d'action qui en découlent. 

La seconde étape consiste en la documentation (registres de traitement mais aussi tous les dossiers et documents réalisés lors de la mise en conformité). 

Enfin en tant que sous-traitant vous devez tenir un registre sous-traitant qui reprend les catégories d'activités de traitement que vous effectuez pour le compte de vos clients. 

Après avoir réalisé ces 3 premières étapes, l'entreprise est en mesure de déterminer les actions complémentaires à réaliser selon qu'elle est concernée ou non. C'est également à cette étape qu'elle est en mesure de définir si son prestataire informatique doit intervenir pour renforcer la sécurité informatique. 

 

 

POURQUOI NOUS CONFIER VOTRE MISE EN CONFORMITE RGPD ?

 ON S'OCCUPE DE TOUT 

1. AUDIT  

Nos experts vous envoient préalablement à l'entreprise une "fiche préparatoire audit RGPD"Cette fiche à compléter avec soin permet de recueillir toutes les informations utiles à la mise en conformité de votre entreprise. 

2. REDACTION 

Après votre entretien avec nos experts, ces derniers rédigent avec minutie et de façon exhaustive l'ensemble de la documentation nécessaire à la mise en conformité incluant tous les registres de traitement, sous-traitants et les actions à mettre en place pour s'améliorer. 

3. RESTITUTION 

Votre audit RGPD, adapté à votre activité et aux réalités de votre entreprise vous est envoyé par courriel sous 48 heures après le rendez vous téléphonique avec nos experts. 

4. ASSISTANCE  

Nous ne vous laissons pas seul puisque vous bénéficiez d'une assistance gratuite et illimitée durant 3 mois suite à votre audit RGPD. 

NOUS VOUS ASSURONS 

PROFESSIONNALISME 
Nos audits de pénébilité sont tous personnalisés et rédigés par des experts spécialisés. 

ASSISTANCE 
Bénéficiez de notre assistance pendant 3 mois suite à votre audit RGPD. 

MISES A JOUR 
Grâce à notre veille juridique, nous vous assurons que tous les supports proposés soient régulièrement à jour. 

EXPERIENCE 
+ 17 000 dossiers réalisés sur tout le territoire français en SST et RGPD. 

 

POUR EN SAVOIR PLUS ...

 

Ce que dit la loi :

  • Entré en vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) concerne tout organisme (public et privé) traitant des données personnelles.

Règlement (Union Européenne 2016/679 du Parlement européen et du Conseil du 27 avril 2016)

Bon à savoir :

  • Une donnée personnelle est une information identifiant directement ou indirectement une personne physique (nom, coordonnées, numéro identification, photographie, date de naissance, adresse, empreinte digitale, adresse IP, ADN, numéro de sécurité sociale, donnée biométrique, ensemble d’informations permettant de discriminer une personne au sein d’une population tels que donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, la voix, une photo, lieu de résidence, profession, sexe, âge, …). 
  • Un traitement de données à caractère personnel (CNIL) concerne toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …). 
  • Une donnée personnelle n'est pas toujours stockée sur un support informatique. Sont concernés également les données papier (bons de commande, factures, devis, carnets de rendez vous, ...). 

Risques pour le dirigeant en cas de défaut :

  • Sur internet peuvent être trouvés des plans de prévention génériques ou alors ils peuvent être envoyés par certaines fédérations ou syndicats. Le fait d’utiliser un plan de prévention type (modèle, exemple, document vierge, …) peut faire omettre certaines spécificités d’un chantier donné en terme d’analyse de certains risques et les mesures de prévention qui en découlent. C’est alors la responsabilité des chefs d’entreprise qui peut se retrouver engagée en cas de problèmes. 
  • Les sanctions encourues par le représentant légal des personnes morales (sociétés) sont des sanctions administratives prononcées par la CNIL qui peuvent être conséquentes (%age du CA) ainsi que des sanctions pénales

 

Comment se prémunir pour le dirigeant ?

Documentation

Registres de traitement 

C’est un ensemble de registres dans lesquels vous allez lister vos traitements de données pour vous permettre d’avoir une vue d’ensemble. 
Le point de départ est l’identification / la cartographie des activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (par exemple : recrutement, gestion de la paie, formation, gestion des badges et des accès, statistiques de vente, gestion des clients prospects, facturation, etc …).

Dans votre registre devra être créée une fiche (sous-registre) pour chaque activité ou traitement recensés, en précisant :

  • Les acteurs,
  • Les catégories de données utilisées,
  • Descriptif du risque,
  • Objectif poursuivi ou la finalité,
  • Flux de données (où est-elle stockée ?),
  • Accès aux données (qui y a accès ?),
  • La durée de conservation de ces données (d’un point de vue opérationnel et durée de conservation en archive), 
  • Données nécessitant la mise en place d’une analyse d’impact (PIA),
  • Mesures de sécurité en place,
  • Identification et priorisation des actions à mener.

Documentation

Documentation

Le dirigeant de l’entreprise doit constituer une documentation attestant de la conformité au RGPD et la mettre à jour en continu sur les 3 grands thèmes suivants :

  • LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNES PERSONNELLES : registre des traitements, les analyses d’impact sur la protection des données (PIA), l’encadrement des transferts de données hors de l’Union Européenne,
  • L’INFORMATION DES PERSONNES : les mentions d’information, les modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l’exercice des droits, 
  • LES CONTRATS QUI DEFINISSENT LES ROLES ET LES RESPONSABILITES DES ACTEURS : les contrats avec les sous-traitants, les procédures internes en cas de violation des données, les preuves que les personnes ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Documentation

Registre sous-traitant 

En tant que sous-traitant, vous devez tenir un registre des catégories d’activités de traitement que vous effectuez pour le compte de vos clients.

Ce registre, écrit, doit contenir : nom et coordonnées des clients concernés, nom et coordonnées de chaque sous-traitant ultérieur, nom et coordonnées du délégué à la protection des données, catégories de traitement effectués pour le compte de chaque client, transfert de données hors UE, description générale des mesures de sécurité techniques et organisationnelles mises en place. 

 

Les principes à garder en mémoire dans la démarche RGPD

Tri des données collectées et stockées 

Pour chaque fiche de registre, vérifiez :

  • Les données sont-elles nécessaires ?
  • Les données sont-elles sensibles ? Si oui avez-vous le droit de les traiter ?
  • L’accès aux données est il bien limité aux personnes habilitées ? 
  • Les données ne sont-elles pas conservées au-delà du nécessaire ? 

Respecter les droits des personnes 

  • Les personnes doivent être informées systématiquement dès lors que vous collectez des données personnelles. Tout support utilisé (formulaire, questionnaire, …) doit comporter des mentions d’information. 
  • Et notamment : pourquoi sont collectées les données ? Ce qui vous autorise « légitimement » à traiter ces données ? Qui a accès aux données ? Combien de temps sont-elles conservées ? Quelles modalités pour les personnes pour exercer leurs droits ? Les données sont-elles susceptibles d’être transférées en dehors de l’Union Européenne ?

 

Permettre aux personnes d’exercer leurs droits 

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc …) ont des droits sur leurs données, renforcées par le RGPD : droit d’accès , de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. 

Vous devez leur donner les moyens d’exercer effectivement leurs droits. 

  • Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si votre site propose un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de ce compte. 
  • Enfin un processus interne doit être défini permettant de garantir l’identification et le traitement des demandes dans des délais courts (un mois maximum). 

ACTIONS COMPLEMENTAIRES (selon si l'entreprise est concernée ou non)

 

CREATION ET MISE EN PLACE
D'UNE CHARTE INFORMATIQUE 

(optionnelle)

La charte informatique  permet de définir
les règles de sécurité, d'utilisation et
de protection informatiques dans l'entreprise. 

 

AVENANTS AUX
CONTRATS DE TRAVAIL  

(obligatoire)

Le RGPD renforce le droit des salariés. Le contrat de travail doit donc être mis à jour sur les nouvelles obligations du salarié dans le cadre de ses missions incluant du traitement de données personnelles et ses nouveaux droits sur ses propres données (droit d'accès, rectification, ...)

 

POLITIQUE DE CONFIDENTIALITE POUR 
SITE INTERNET  

(obligatoire)

La politique de confidentialité est obligatoire pour toutes les entreprises possédant un site internet y récoltant des données personnelles (formulaire de contact ou inscription newsletter par exemple)

 

CONDITIONS GENERALES DE VENTE  
 

(obligatoire)

Pour être en conformité avec le RGPD, les CGV doivent comporter des clauses spécifiques. 

 

CONDITIONS GENERALES D'UTILISATION 
donnees a caractere personnel site internet

(obligatoire)

Le RGPD impose une mise à jour des CGU qui doivent intégrer une clause spécifique RGPD. 

 

CLAUSES CONTRACTUELLES DE 
SOUS TRAITANCE 

(obligatoire)

Le RGPD impose aux entreprises de faire uniquement appel à des sous-traitants en conformité avec le RGPD. 

 

clause d'information en cas d'utilisation de badges
 

(obligatoire)

L'utilisation de badges pour règlement l'accès aux locaux constitue un registre de traitement et nécessite donc d'être formalisée avec les utilisateurs concernés. 

 

clause d'information en cas de geolocalisation des vehicules des salariés 

(obligatoire)

L'utilisation d'un système de géolocalisation des véhicules constitue un registre de traitements et nécessite donc d'être formalisée avec les utilisateurs concernés.  

 

CLAUSE D'INFORMATION EN CAS DE VIDEO SURVEILLANCE SUR LES LIEUX DE TRAVAIL 

(obligatoire)

L'utilisation d'un système de vidéo surveillance sur les lieux de travail constitue un registre de traitements et nécessite donc d'être formalisée avec les utilisateurs concernés.