Editions Legislatives Logo
telephone

Contactez-nous

01 71 70 43 80

Smart Action
Protection des données personnelles

Comment dois-je procéder pour que mon entreprise soit en conformité avec le RGPD ?

1

Recensez tous vos traitements de données personnelles et établissez un registre des activités de traitement

Voir la fiche conseils

2

Informez les personnes dont vous collectez et traitez les données personnelles

Voir la check-list

3

Réalisez une analyse d'impact en cas de traitement susceptible d'engendrer des risques élevés

Voir le tableau récapitulatif

4

Gérez une violation de données personnelles

Voir l'exemple de modèle

Le responsable du traitement doit-il systématiquement réaliser une analyse d'impact ?

La réalisation d'une analyse d'impact relative à la protection des données, ou AIPD, est obligatoire avant de mettre en Å“uvre un traitement si ce dernier susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques (RGPD, art. 35, § 1).

  • Plus particulièrement, l'AIPD est requise dans les cas suivants, énoncés par le RGPD (art. 35) : l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;
  • le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou la surveillance systématique à grande échelle d'une zone accessible au public.

Le G29, aujourd'hui rebaptisé CEPD (Comité européen de la protection des données), a pour cela donné des exemples de traitements susceptibles de présenter un tel risque (Lignes directrices du G29 WP248, 4 avr. 2017).

Il a également établi une liste de 9 critères pour aider les responsables de traitement à répondre à l'obligation ou non d'effectuer une AIPD. Si le traitement répond à au moins 2 de ces critères, alors l'AIPD est impérative.

Enfin, plus récemment au niveau national, la CNIL a adopté des lignes directrices pour compléter celles établies par le G29 et a dressé la liste, non-exhaustive, des traitements pour lesquels l'AIPD est requise. Notez qu'en cas de doute, la réalisation de l'AIPD demeure fortement conseillée.

Voir la fiche pratique : Evaluer les risques et établir une analyse d'impact

J'effectue un achat en ligne : le site commerçant peut-il conserver mes données bancaires ?

Le RGPD précise que pour tout traitement, les données doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art. 5, § 4).

En matière d'utilisation de la carte bancaire lors d'une vente à distance, la CNIL a récemment eu l'occasion de rappeler que les données nécessaires au paiement (numéro de la carte, date de validité et cryptogramme) ne doivent pas être conservées au-delà de la transaction (Délib CNIL n° 2018-303, 6 sept. 2018).

Pour autant, il existe des cas dans lesquels les données bancaires pourront être conservées par défaut, notamment pour faciliter les achats ultérieurs. Dans ce cas, le consentement des personnes doit être recueilli (case à cocher par exemple) et le commerçant doit leur fournir une information claire et complète et leur permettre d'exercer les droits qu'ils détiennent en vertu du RGPD, notamment la suppression de leurs données de carte bancaire.

La CNIL a identifié plusieurs finalités de traitement en fonction desquelles la durée de conservation des données varie :

  • Pour les achats ponctuels, les données sont conservées pendant le délai nécessaire à la réalisation de la transaction, augmenté, le cas échéant, du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance ;
  • Pour les paiements échelonnés, la conservation de ses données bancaires est justifiée :
    • jusqu'à la dernière échéance de paiement, si l'abonnement ne prévoit pas de tacite reconduction ;
    • jusqu'à résiliation de l'abonnement en cas de renouvellement par tacite reconduction ;
  • Pour la gestion des réclamations, le numéro de carte et la date de validité peuvent être conservées 13 mois suivant la date de débit (jusqu'à 15 mois pour les cartes de paiement à débit différé).
  • Si les données sont collectées par un organisme assujetti aux obligations de lutte contre le blanchiment de capitaux pour offrir une solution de paiement à distance, elles peuvent être conservées jusqu'à la clôture du compte ;
  • Si le numéro de la carte est utilisé à d'autres fins (simple option visant à faciliter les achats ultérieurs, abonnement donnant accès à des services additionnels ou traitement de lutte contre la fraude), sa durée de conservation ne saurait excéder la durée nécessaire à l'accomplissement de cette finalité.

Enfin, compte tenu du caractère hautement personnel des données bancaires et de la gravité des impacts pour les personnes en cas de violation de leurs données, la CNIL rappelle la nécessité de réaliser une analyse d'impact (AIPD).

Voir la fiche conseils

Voir le cas pratique : Gérer la protection des données personnelles dans Smart Action

Voir la question/réponse

Découvrez Smart Action Protection des données personnelles

L'assurance d'une conformité réussie

  • Complet : toutes les étapes pour mener à bien et démontrer votre conformité : nommer un DPO, recenser les traitements... (+)

  • Pratique : une information organisée par thèmes, sous forme de fiches conseils, modèles, tableaux récapitulatifs, arbres décisionnels dynamiques, check-lists...

  • Fiable : une newsletter hebdomadaire et une mise à jour permanente assurée par notre équipe de rédaction.

30€ En savoir plus

De nouvelles perspectives dans votre quotidien

Gain de temps

Vous êtes guidé pas à pas dans vos démarches et avez tout sous la main

Conformité documentée

Vous avez tous les outils pour démontrer votre conformité vis-à-vis de la CNIL

Sécurité garantie

Reposez-vous sur le savoir-faire des éditions Législatives en matière de mise à jour

2 offres adaptées
à vos besoins

Vous aimez la liberté ? Cette offre est faite pour vous.
L'abonnement est reconduit chaque mois. Pour résilier votre abonnement, c'est tout simple : contactez-nous au 01 71 70 43 80.

Smart Action
Protection des données personnelles

Sans engagement

40€

en prélèvement mensuel

Ajouter au panier

Profitez du meilleur tarif et d'un accès illimité à votre Smart Action !
L'abonnement est reconduit chaque année. Pour résilier votre abonnement, contactez-nous au 01 71 70 43 80.

Smart Action
Protection des données personnelles

Abonnement annuel

30€

soit 360€ HT à la commande

Ajouter au panier

Toutes les étapes pour mener à bien et démontrer votre conformité

Fiches conseils

Modèles

Tableaux récapitulatifs

Arbres décisionnels

Check-lists

Connaître les apports du RGPD


  • 1/ Cerner le champ d'application et les principes généraux du RGPD
  • 2/ Respecter les droits des personnes concernées
  • 3/ Maîtriser les obligations des responsables du traitement et des sous-traitants
  • 4/ Etre informé des voies de recours, de la responsabilité et des sanctions
  • 5/ Appréhender le rôle des autorités de contrôle et du CEPD

Déterminer si le RGPD est applicable


  • 1/ Etes-vous concerné par le RGPD ?
  • 2/ Déterminer son statut : responsable du traitement, responsable conjoint du traitement ou sous-traitant ?

Etablir son plan d'actions


  • 1/ Etablir son plan d'actions

Nommer un DPO


  • 1/ Déterminer si la désignation d'un DPO est obligatoire
  • 2/ Choisir un DPO
  • 3/ Garantir la fonction du DPO
  • 4/ Définir les missions du DPO

Garantir la licéité du traitement


  • 1/ Déterminer la base juridique du traitement
  • 2/ Garantir le privacy by design et le privacy by default
  • 3/ Définir les durées de conservation des données
  • 4/ Connaître les règles applicables au traitement des données sensibles

Obtenir un consentement valide


  • 1/ Gérer le consentement des données concernées

Gérer les droits des personnes concernées


  • 1/ Informer les personnes concernées
  • 2/ Conditions générales de vente BtoC : quelles règles d'information en matière de protection des données ?
  • 3/ Gérer une demande d'accès
  • 4/ Gérer une demande de rectification
  • 5/ Gérer une demande d'effacement
  • 6/ Gérer une demande de limitation du traitement
  • 7/ Gérer une demande de portabilité des données
  • 8/ Gérer une demande d'opposition
  • 9/ Gérer une demande relative au sort des données après le décès
  • 10/ Encadrer le profilage

Tenir un registre des activités de traitement


  • 1/ Cartographier les traitements
  • 2/ Etablir un registre des activités de traitement
  • 3/ Mettre à jour le registre des activités de traitement

Mener une analyse d'impact relative à la protection des données


  • 1/ Evaluer les risques et établir une analyse d'impact

Assurer la sécurité des données


  • 1/ Gérer une violation de données
  • 2/ Optimiser la sécurité des traitements

Gérer la sous-traitance


  • 1/ Auditer la conformité des sous-traitants existants et potentiels

Encadrer les relations contractuelles avec les sous-traitants


  • 1/ Adapter les contrats de sous-traitance
  • 2/ Adapter les contrats d'achat de prestations technologiques
  • 3/ Adapter les contrats informatiques d'intégration de solutions composites
  • 4/ Adapter les contrats de prestations intellectuelles
  • 5/ Adapter les appels d'offres privés
  • 6/ Adapter les marchés publics

Désigner une autorité de contrôle chef de file


  • 1/ Bénéficier du guichet unique

Encadrer les transferts de données hors de l'Union Européenne


  • 1/ Comment procéder à des transferts internationaux de données ?

Obtenir une certification et adhérer à un code de conduite


  • 1/ Obtenir une certification pour prouver sa conformité
  • 2/ Adhérer à un code de conduite pour prouver sa conformité
30€ En savoir plus

Qui sommes-nous ?

éditions Législatives, éditeur de référence en droit social depuis 1947

Notre métier : veiller l'actualité juridique, vous délivrer une information opérationnelle

Notre savoir-faire : mettre à votre disposition des documentations et outils mis à jour en permanence par nos équipes de rédaction

Votre confiance, notre priorité : plus de 70 000 abonnés professionnels des RH, experts-comptables, avocats, directeurs juridiques...