Editions Legislatives Logo
telephone

Contactez-nous

01 71 70 43 80

Smart Action
Protection des données personnelles

Comment dois-je procéder pour que mon entreprise soit en conformité avec le RGPD ?

1

Recensez tous vos traitements de données personnelles et établissez un registre des activités de traitement

Voir la fiche conseils

2

Informez les personnes dont vous collectez et traitez les données personnelles

Voir la check-list

3

Réalisez une analyse d'impact en cas de traitement susceptible d'engendrer des risques élevés

Voir le tableau récapitulatif

4

Gérez une violation de données personnelles

Voir l'exemple de modèle

Le responsable du traitement doit-il systématiquement réaliser une analyse d’impact ?

La réalisation d’une analyse d’impact relative à la protection des données, ou AIPD, est obligatoire avant de mettre en œuvre un traitement si ce dernier susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (RGPD, art. 35, § 1).

  • Plus particulièrement, l’AIPD est requise dans les cas suivants, énoncés par le RGPD (art. 35) : l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;
  • le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou la surveillance systématique à grande échelle d'une zone accessible au public.

Le G29, aujourd’hui rebaptisé CEPD (Comité européen de la protection des données), a pour cela donné des exemples de traitements susceptibles de présenter un tel risque (Lignes directrices du G29 WP248, 4 avr. 2017).

Il a également établi une liste de 9 critères pour aider les responsables de traitement à répondre à l’obligation ou non d’effectuer une AIPD. Si le traitement répond à au moins 2 de ces critères, alors l’AIPD est impérative.

Enfin, plus récemment au niveau national, la CNIL a adopté des lignes directrices pour compléter celles établies par le G29 et a dressé la liste, non-exhaustive, des traitements pour lesquels l’AIPD est requise. Notez qu’en cas de doute, la réalisation de l’AIPD demeure fortement conseillée.

Voir la fiche pratique : Evaluer les risques et établir une analyse d’impact

J’effectue un achat en ligne : le site commerçant peut-il conserver mes données bancaires ?

Le RGPD précise que pour tout traitement, les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art. 5, § 4).

En matière d’utilisation de la carte bancaire lors d’une vente à distance, la CNIL a récemment eu l’occasion de rappeler que les données nécessaires au paiement (numéro de la carte, date de validité et cryptogramme) ne doivent pas être conservées au-delà de la transaction (Délib CNIL n° 2018-303, 6 sept. 2018).

Pour autant, il existe des cas dans lesquels les données bancaires pourront être conservées par défaut, notamment pour faciliter les achats ultérieurs. Dans ce cas, le consentement des personnes doit être recueilli (case à cocher par exemple) et le commerçant doit leur fournir une information claire et complète et leur permettre d’exercer les droits qu’ils détiennent en vertu du RGPD, notamment la suppression de leurs données de carte bancaire.

La CNIL a identifié plusieurs finalités de traitement en fonction desquelles la durée de conservation des données varie :

  • Pour les achats ponctuels, les données sont conservées pendant le délai nécessaire à la réalisation de la transaction, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance ;
  • Pour les paiements échelonnés, la conservation de ses données bancaires est justifiée :
    • jusqu'à la dernière échéance de paiement, si l'abonnement ne prévoit pas de tacite reconduction ;
    • jusqu'à résiliation de l'abonnement en cas de renouvellement par tacite reconduction ;
  • Pour la gestion des réclamations, le numéro de carte et la date de validité peuvent être conservées 13 mois suivant la date de débit (jusqu’à 15 mois pour les cartes de paiement à débit différé).
  • Si les données sont collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu'à la clôture du compte ;
  • Si le numéro de la carte est utilisé à d'autres fins (simple option visant à faciliter les achats ultérieurs, abonnement donnant accès à des services additionnels ou traitement de lutte contre la fraude), sa durée de conservation ne saurait excéder la durée nécessaire à l'accomplissement de cette finalité.

Enfin, compte tenu du caractère hautement personnel des données bancaires et de la gravité des impacts pour les personnes en cas de violation de leurs données, la CNIL rappelle la nécessité de réaliser une analyse d’impact (AIPD).

Voir la fiche conseils

Les traitements papier ne sont pas concernés par le RGPD. Vrai ou faux ?

Le RGPD définit un traitement comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » (RGPD, art. 4, 2).

Cette définition, extrêmement large, permet de considérer que la majorité des actions effectuées sur des données à caractère personnel, qu'elles soient automatisées ou manuelles, constituent des traitements et entrent, par conséquent, dans le champ d'application du règlement.

Attention, tous les traitements papier ne sont pas pour autant concernés par le RGPD ! Ce dernier s’applique au traitement manuel uniquement si les données figurent dans un fichier (dans le cas d'un traitement automatisé, la présence d'un fichier n'est pas exigée).

Constitue un fichier « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » (RGPD, art. 4, 6). Sont en revanche exclus de cette catégorie « les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés » (RGPD, considérant 15).

Mon entreprise souhaite remplacer les badges d’accès aux locaux par un dispositif biométrique. Peut-elle le faire ?

La biométrie fait partie des catégories particulières de données dont le traitement est en principe interdit par l’article 9 du RGPD.

Le 10 janvier 2019, la CNIL a adopté un règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

Ce règlement fixe des exigences spécifiques applicables aux traitements de données biométriques nécessaires au contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, ou aux prestataires. Pour ce type de traitement, une analyse d’impact préalable est impérative.

Pour rappel, s’entendent comme données biométriques les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques (RGPD, art. 4).

En milieu professionnel, seule l’authentification biométrique basée sur des caractéristiques morphologiques des personnes concernées est autorisée. L’authentification biométrique nécessitant un prélèvement biologique (salive, sang, etc.) est proscrite dans le champ du règlement type de la CNIL.

Le choix du ou des types de biométrie (iris, empreinte digitale, réseau veineux de la main, etc.) doit être justifié et documenté par l’employeur. Il doit notamment démontrer la nécessité de recourir à un tel traitement, en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.

Un moteur de recherche à qui je demande de déréférencer mes nom et prénom est-il obligatoirement tenu de le faire ?

Non ! Le moteur de recherche doit faire une appréciation au cas par cas.

La Cour de justice de l'UE a rendu un arrêt le 24 septembre 2019 qui a permis de clarifier la portée du droit au déréférencement, issu de l'article 17 du RGPD (lire notre article sur l'arrêt CJUE, 24 sept. 2019, aff. C-507/17, Google LLC c/ CNIL).

La Cour explique que l'exploitant d'un moteur de recherche doit, sur la base de tous les éléments pertinents du cas d'espèce et compte tenu de la gravité de l'ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, qui sont des droits fondamentaux de l'UE, vérifier si l'inclusion d'un lien litigieux dans la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom de la personne, s'avère strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d'une telle recherche.

Il s'agit donc d’une mise en balance entre d'un côté, l’intérêt du public à avoir accès à l'information et de l'autre côté, le respect des droits et libertés des personnes concernées. Le Conseil d’État, qui a rappelé que le droit au déréférencement n'est pas absolu, a adhéré à la position de la CJUE dans les 13 arrêts qu’il a rendus le 6 décembre 2019.

Bien entendu, plus les données sont considérées comme sensibles, plus le moteur de recherche devra justifier de l'intérêt du public à y avoir un accès strictement nécessaire.

A noter que le Comité européen de protection des données a adopté des lignes directrices sur les critères du droit au déréférencement d'un moteur de recherche, actuellement en consultation publique.

Comment assurer la sécurité des données de l’entreprise en cas de télétravail ?

La généralisation du recours au télétravail en raison de la pandémie de Covid-19 impose le respect de certaines règles, afin de protéger les données de l’entreprise mais aussi les données personnelles des salariés. La CNIL a récemment fait le point sur les bonnes pratiques à suivre.

  • Sécuriser sa connexion internet (utiliser un wifi sécurisé par un mot de passe complexe)
  • Favoriser l’utilisation d’équipements fournis par l’entreprise, et utiliser le VPN (Virtual private network) mis à disposition par l’entreprise
  • Ou, en cas d’utilisation d’un équipement personnel, s’assurer qu’il est suffisamment sécurisé (pare-feu, mises à jour des logiciels et du système d’exploitation, sauvegardes, utilisation de mots de passe forts)
    La CNIL propose un outil pour générer des mots de passe suffisamment robustes : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
  • Sécuriser ses communications (activer le code PIN du téléphone personnel s’il est utilisé à des fins professionnelles, chiffrer ses communications, privilégier le recours aux outils de visioconférence protecteurs de la vie privée)
    La Direction interministérielle du numérique propose un tableau comparatif des solutions de visioconférence disponibles sur le marché
  • Restez vigilants face aux tentatives de hameçonnage

Du côté de l’employeur, la rédaction d’une charte informatique est fortement recommandée avec les règles de base à respecter par les collaborateurs. La CNIL préconise aussi les mesures suivantes :

  • Authentifier les utilisateurs, limiter les tentatives d’accés et imposer un renouvellement du mot de passe
  • Equiper tous les postes d’un pare-feu, d’un antivirus et d un outil de blocage d’accès aux sites malveillants
  • Utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire (HTTPS, SFTP, …)
  • Effectuer les mises à jour de sécurité
  • Consulter régulièrement les journaux d’accès pour détecter des comportements suspects

L’accord de responsabilité conjointe est-il obligatoire  ?

Oui ! L’article 26 du RGPD impose qu’un accord définisse les obligations respectives de chacun des co-responsables du traitement.

Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux

Si l’article 26 ne pose aucune exigence formelle quant à l’établissement de l’accord entre les co-responsables, il reste préférable de recourir à un contrat écrit.

En pratique, l’accord entre les responsables conjoints du traitement devra notamment permettre d’apporter les réponses aux questions suivantes :

  • Quelle entité procède à la collecte des données ?
  • Qui informe les personnes concernées ?
  • Qui assure la sécurité des données à caractère personnel ?
  • En cas de recours à un sous-traitant, quelles sont les exigences notamment quant à la sous-traitance ultérieure ?
  • Comment les droits des personnes sont-ils gérés ?
  • En cas de notification d’une violation de données, quelle sera la coopération entre les parties ?
  • Quelle coopération dans la documentation de la conformité du traitement conjointement mis en œuvre ?
  • Quel mode d’information ou d’alerte sur les risques de non-conformité est mis en œuvre entre les entités ?

Voir le cas pratique : Gérer la protection des données personnelles dans Smart Action

Voir la question/réponse

Découvrez Smart Action Protection des données personnelles

L'assurance d'une conformité réussie

  • Complet : toutes les étapes pour mener à bien et démontrer votre conformité : nommer un DPO, recenser les traitements… (+)

  • Pratique : une information organisée par thèmes, sous forme de fiches conseils, modèles, tableaux récapitulatifs, arbres décisionnels dynamiques, check-lists…

  • Fiable : une newsletter hebdomadaire et une mise à jour permanente assurée par notre équipe de rédaction.

30€ En savoir plus

De nouvelles perspectives dans votre quotidien

Gain de temps

Vous êtes guidé pas à pas dans vos démarches et avez tout sous la main

Conformité documentée

Vous avez tous les outils pour démontrer votre conformité vis-à-vis de la CNIL

Sécurité garantie

Reposez-vous sur le savoir-faire des éditions Législatives en matière de mise à jour

2 offres adaptées
à vos besoins

Vous aimez la liberté ? Cette offre est faite pour vous.
L'abonnement est reconduit chaque mois. Pour résilier votre abonnement, c'est tout simple : contactez-nous au 01 71 70 43 80.

Smart Action
Protection des données personnelles

Sans engagement

40€

en prélèvement mensuel

Ajouter au panier

Profitez du meilleur tarif et d'un accès illimité à votre Smart Action !
L'abonnement est reconduit chaque année. Pour résilier votre abonnement, contactez-nous au 01 71 70 43 80.

Smart Action
Protection des données personnelles

Abonnement annuel

30€

soit 360€ HT à la commande

Ajouter au panier

Toutes les étapes pour mener à bien et démontrer votre conformité

Fiches conseils

Modèles

Tableaux récapitulatifs

Arbres décisionnels

Check-lists

Connaître les apports du RGPD


  • 1/ Cerner le champ d'application et les principes généraux du RGPD
  • 2/ Respecter les droits des personnes concernées
  • 3/ Maîtriser les obligations des responsables du traitement et des sous-traitants
  • 4/ Etre informé des voies de recours, de la responsabilité et des sanctions
  • 5/ Appréhender le rôle des autorités de contrôle et du CEPD

Déterminer si le RGPD est applicable


  • 1/ Etes-vous concerné par le RGPD ?
  • 2/ Déterminer son statut au regard du RGPD

Etablir son plan d'actions


  • 1/ Etablir son plan d'actions

Nommer un DPO


  • 1/ Déterminer si la désignation d'un DPO est obligatoire
  • 2/ Choisir un DPO
  • 3/ Garantir la fonction du DPO
  • 4/ Définir les missions du DPO

Garantir la licéité du traitement


  • 1/ Déterminer la base juridique du traitement
  • 2/ Gérer le consentement des personnes concernées
  • 3/ Garantir le privacy by design et le privacy by default
  • 4/ Définir les durées de conservation des données
  • 5/ Connaître les règles applicables au traitement des données sensibles

Gérer les droits des personnes concernées


  • 1/ Informer les personnes concernées
  • 2/ Gérer une demande d'accès
  • 3/ Gérer une demande de rectification
  • 4/ Gérer une demande d'effacement
  • 5/ Gérer une demande de limitation du traitement
  • 6/ Gérer une demande de portabilité des données
  • 7/ Gérer une demande d'opposition
  • 8/ Gérer une demande relative au sort des données après le décès
  • 9/ Encadrer le profilage

Tenir un registre des activités de traitement


  • 1/ Établir et tenir à jour le registre des activités de traitement

Mener une analyse d'impact relative à la protection des données


  • 1/ Evaluer les risques et établir une analyse d’impact

Assurer la sécurité des données


  • 1/ Gérer une violation de données
  • 2/ Optimiser la sécurité des traitements

Gérer la sous-traitance


  • 1/ Auditer la conformité des sous-traitants existants et potentiels

Encadrer les relations contractuelles avec les sous-traitants


  • 1/ Conditions générales de vente BtoC : quelles règles d'information en matière de protection des données ?
  • 2/ Adapter les contrats de sous-traitance
  • 3/Adapter les contrats d'achat de prestations technologiques
  • 4/Adapter les contrats informatiques d'intégration de solutions composites
  • 5/Adapter les contrats de prestations intellectuelles
  • 6/Adapter les appels d'offres privés
  • 7/Adapter les marchés publics

Désigner une autorité de contrôle chef de file


  • 1/ Bénéficier du guichet unique

Encadrer les transferts de données hors de l’Union Européenne


  • 1/ Sécuriser les transferts internationaux de données

Obtenir une certification et adhérer à un code de conduite


  • 1/ Obtenir une certification pour prouver sa conformité
  • 2/ Adhérer à un code de conduite pour prouver sa conformité

Gérer un contrôle de la CNIL


  • 1/ Maîtriser le cadre légal des contrôles de la CNIL
  • 2/ Faire face à un contrôle de la CNIL

Encadrer le traitement des données de santé


  • Encadrer le traitement des données de santé

Encadrer le traitement des données RH


  • Assurer la conformité des traitements de données RH
  • Limiter les données de santé portées à la connaissance de l’employeur
  • Maîtriser les outils de travail à distance
30€ En savoir plus

Qui sommes-nous ?

éditions Législatives, éditeur de référence en droit social depuis 1947

Notre métier : veiller l'actualité juridique, vous délivrer une information opérationnelle

Notre savoir-faire : mettre à votre disposition des documentations et outils mis à jour en permanence par nos équipes de rédaction

Votre confiance, notre priorité : plus de 70 000 abonnés professionnels des RH, experts-comptables, avocats, directeurs juridiques…