MISE EN CONFORMITÉ RGPD (RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES)

Le Règlement Général sur la Protection des Données (RGPD) s’applique à toute organisation (entrepreneurs indépendants, TPE, PME, TGE, collectivités, associations, organismes publics) qui collecte, stocke ou traite des données personnelles sur des citoyens européens, quelle que soit sa taille ou son activité. 

La première étape de la mise en conformité RGPD (entrée en vigueur le 25 mai 2018) consiste de façon obligatoire à la mise en œuvre et réalisation des « registres des activités de traitement » de l’entreprise ou l’organisation (recensement des traitements de données et vue d’ensemble de leur utilisation). En pratique, ces registres sont à mettre à jour dès qu’il y a une modification aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire, …). Cela permet aussi de montrer l’amélioration continue à travers le suivi des plans d’action qui en découlent. 

La seconde étape consiste en la documentation (registres de traitement, mais aussi tous les dossiers et documents réalisés lors de la mise en conformité). 

Enfin, en tant que sous-traitant, vous devez tenir un registre sous-traitant qui reprend les catégories d’activités de traitement que vous effectuez pour le compte de vos clients. 

Après avoir réalisé ces 3 premières étapes, l’entreprise est en mesure de déterminer les actions complémentaires à réaliser selon qu’elle est concernée ou non. C’est également à cette étape qu’elle est en mesure de définir si son prestataire informatique doit intervenir pour renforcer la sécurité informatique. 


Pourquoi nous confier votre mise en conformité RGPD ?

On s’occupe de tout 

Nous vous assurons

Professionnalisme

Nos audits RGPD sont tous réalisés, personnalisés et rédigés par des experts spécialisés.

Assistance

Bénéficiez de notre assistance pendant 3 mois suite à votre audit RGPD.

Mises à jour

Grâce à notre veille juridique, nous vous assurons que tous les supports proposés sont régulièrement à jour.

Expérience

+ 17 000 dossiers réalisés sur tout le territoire français en SST et RGPD.

Réalisez dès à présent votre audit RGPD !

Gratuit et sans engagement de votre part.
Répondez au questionnaire et demandez votre bilan RGPD.

En savoir plus

Ce que dit la loi :

Entré en vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) concerne tout organisme (public et privé) traitant des données personnelles.

Règlement (Union Européenne 2016/679 du Parlement européen et du Conseil du 27 avril 2016)

Bon à savoir :

  • Une donnée personnelle est une information identifiant directement ou indirectement une personne physique (nom, coordonnées, numéro identification, photographie, date de naissance, adresse, empreinte digitale, adresse IP, ADN, numéro de sécurité sociale, donnée biométrique, ensemble d’informations permettant de discriminer une personne au sein d’une population tels que donnée physique, physiologique, génétique, psychique, économique, culturelle, sociale, la voix, une photo, lieu de résidence, profession, sexe, âge, …). 
  • Un traitement de données à caractère personnel (CNIL) concerne toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …). 
  • Une donnée personnelle n’est pas toujours stockée sur un support informatique. Sont concernés également les données papier (bons de commande, factures, devis, carnets de rendez-vous, …). 

Risques pour le dirigeant en cas de défaut :

  • Sur Internet peuvent être trouvés des plans de prévention génériques ou alors ils peuvent être envoyés par certaines fédérations ou syndicats. Le fait d’utiliser un plan de prévention type (modèle, exemple, document vierge, …) peut faire omettre certaines spécificités d’un chantier donné en termes d’analyse de certains risques et les mesures de prévention qui en découlent. C’est alors la responsabilité des chefs d’entreprise qui peut se retrouver engagée en cas de problèmes. 
  • Les sanctions encourues par le représentant légal des personnes morales (sociétés) sont des sanctions administratives prononcées par la CNIL qui peuvent être conséquentes (%age du CA) ainsi que des sanctions pénales

Comment se prémunir pour le dirigeant ?

Registres de traitement 

C’est un ensemble de registres dans lesquels vous allez lister vos traitements de données pour vous permettre d’avoir une vue d’ensemble.

Le point de départ est l’identification / la cartographie des activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (par exemple : recrutement, gestion de la paie, formation, gestion des badges et des accès, statistiques de vente, gestion des clients prospects, facturation, etc …)

Dans votre registre, il devra être créé une fiche (sous-registre) pour chaque activité ou traitement recensés, en précisant :

  • Les acteurs,
  • Les catégories de données utilisées,
  • Descriptif du risque,
  • Objectif poursuivi ou la finalité,
  • Flux de données (où est-elle stockée ?),
  • Accès aux données (qui y a accès ?),
  • La durée de conservation de ces données (d’un point de vue opérationnel et durée de conservation en archive), 
  • Données nécessitant la mise en place d’une analyse d’impact (PIA),
  • Mesures de sécurité en place,
  • Identification et priorisation des actions à mener.

Documentation

Le dirigeant de l’entreprise doit constituer une documentation attestant de la conformité au RGPD et la mettre à jour en continu sur les 3 grands thèmes suivants :

  • LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNES PERSONNELLES : registre des traitements, les analyses d’impact sur la protection des données (PIA), l’encadrement des transferts de données hors de l’Union Européenne,
  • L’INFORMATION DES PERSONNES : les mentions d’information, les modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l’exercice des droits, 
  • LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS : les contrats avec les sous-traitants, les procédures internes en cas de violation des données, les preuves que les personnes ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Registre sous-traitant 

En tant que sous-traitant, vous devez tenir un registre des catégories d’activités de traitement que vous effectuez pour le compte de vos clients.

Ce registre, écrit, doit contenir : nom et coordonnées des clients concernés, nom et coordonnées de chaque sous-traitant ultérieur, nom et coordonnées du délégué à la protection des données, catégories de traitement effectués pour le compte de chaque client, transfert de données hors UE, description générale des mesures de sécurité techniques et organisationnelles mises en place.


Les principes à garder en mémoire dans la démarche RGPD

Tri des données collectées et stockées 

Pour chaque fiche de registre, vérifiez :

  • Les données sont-elles nécessaires ?
  • Les données sont-elles sensibles ? Si oui avez-vous le droit de les traiter ?
  • L’accès aux données est il bien limité aux personnes habilitées ? 
  • Les données ne sont-elles pas conservées au-delà du nécessaire ? 

Respecter les droits des personnes 

  • Les personnes doivent être informées systématiquement dès lors que vous collectez des données personnelles. Tout support utilisé (formulaire, questionnaire, …) doit comporter des mentions d’information. 
  • Et notamment : pourquoi sont collectées les données ? Ce qui vous autorise « légitimement » à traiter ces données ? Qui a accès aux données ? Combien de temps sont-elles conservées ? Quelles modalités pour les personnes pour exercer leurs droits ? Les données sont-elles susceptibles d’être transférées en dehors de l’Union Européenne ?

Permettre aux personnes d’exercer leurs droits 

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc …) ont des droits sur leurs données, renforcées par le RGPD : droit d’accès , de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. 

Vous devez leur donner les moyens d’exercer effectivement leurs droits. 

  • Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée. Si votre site propose un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de ce compte. 
  • Enfin, un processus interne doit être défini permettant de garantir l’identification et le traitement des demandes dans des délais courts (un mois maximum). 

Actions complémentaires (selon si l’entreprise est concernée ou non)

Création et mise en place d’une charte informatique

(optionnelle)

La charte informatique permet de définir les règles de sécurité, d’utilisation et de protections informatiques dans l’entreprise. 

Avenants aux contrats de travail

(obligatoire)

Le RGPD renforce le droit des salariés. Le contrat de travail doit donc être mis à jour sur les nouvelles obligations du salarié dans le cadre de ses missions incluant du traitement de données personnelles et ses nouveaux droits sur ses propres données (droit d’accès, rectification, …)

Politique de confidentialité pour site internet

(obligatoire)

La politique de confidentialité est obligatoire pour toutes les entreprises possédant un site internet y récoltant des données personnelles (formulaire de contact ou inscription newsletter par exemple)

Clause d’information en cas d’utilisation de badges

(obligatoire)

L’utilisation de badges pour règlement l’accès aux locaux constitue un registre de traitement et nécessite donc d’être formalisée avec les utilisateurs concernés.

Clause d’information en cas de géolocalisation des véhicules des salariés

(obligatoire)

L’utilisation d’un système de géolocalisation des véhicules constitue un registre de traitements et nécessite donc d’être formalisée avec les utilisateurs concernés.

Clause d’information en cas de vidéo-surveillance sur les lieux de travail

(obligatoire)

L’utilisation d’un système de vidéo-surveillance sur les lieux de travail constitue un registre de traitements et nécessite donc d’être formalisée avec les utilisateurs concernés.

Conditions générales de vente

(obligatoire)

Pour être en conformité avec le RGPD, les CGV doivent comporter des clauses spécifiques.

Conditions générales d’utilisation données à caractère personnel site internet

(obligatoire)

Le RGPD impose une mise à jour des CGU qui doivent intégrer une clause spécifique RGPD.

Clauses contractuelles de sous-traitance

(obligatoire)

Le RGPD impose aux entreprises de faire uniquement appel à des sous-traitants en conformité avec le RGPD.

Newsletter

Vous souhaitez recevoir des informations concernant la Santé Sécurité au Travail ou le RGPD ? Inscrivez-vous à notre newsletter tout simplement en nous laissant votre nom et votre adresse mail.

Nous vous rassurons ! Vos coordonnées ne seront ni cédées, ni vendues à des partenaires et vous aurez possibilité à chaque newsletter de vous désinscrire si vous le souhaitez.