RGPD & Données personnelles | GF Avocat

 

RGPD & Données personnelles

Le cabinet offre une expertise en matière de nouvelles technologies, de protection de la vie privée et des données personnelles. Il vous aide à mettre votre entreprise en conformité au RGPD et peut être votre délégué à la protection des données.

Les données personnelles :
quels enjeux ?

L’émergence des nouvelles technologies et la mondialisation des échanges ont engendré un bouleversement de l’économie. Aujourd’hui, les personnes physiques rendent publiques des données les concernant qui sont collectées et exploitées par les entreprises et les autorités publiques. Cette exploitation des données permet de cibler plus précisément les personnes, de connaître leurs habitudes, leurs goûts, leurs opinions… C’est un atout certain pour les opérateurs économiques, et un danger potentiel pour les personnes concernées.

C’est la raison pour laquelle le législateur européen a imaginé le Règlement général sur la protection des données n° 2016/679 (RGPD), qui définit un cadre juridique unifié pour régir la collecte et le traitement des données personnelles dans l’ensemble de l’Union européenne.

La philosophie du RGPD est novatrice : il tend à renforcer les droits des personnes en imposant aux opérateurs économiques une conformité basée sur la transparence et la responsabilisation. Ainsi, le responsable d’un traitement de données doit s’assurer que les données collectées le sont dans un cadre légal et de manière nécessaire et proportionnée à l’objectif qu’il poursuit. Ces exigences sont d’autant plus importantes que le traitement porte sur des données sensibles (données relatives à la santé, aux opinions politiques, à l’appartenance syndicale, etc.). Il appartient également au responsable du traitement d’assurer la sécurité et l’intégrité des données, ainsi que la conformité à la loi de l’usage qui en est fait par ses sous-traitants. Il doit enfin veiller à ce que les personnes concernées soient informées de l’usage qui est fait de leurs données et qu’elles puissent exercer leurs droits, notamment de rectification et de suppression des données.

Cette démarche de responsabilisation impose aux entreprises de réaliser une cartographie des traitements de données, d’informer les usagers de leurs services, de notifier les failles de sécurité, voire de nommer un « délégué à la protection des données » et de réaliser une analyse d’impact sur les droits des personnes concernées. Elles doivent aussi s’adapter constamment aux évolutions du droit et de la technologie, faute de quoi elles encourent des sanctions encadrées, graduées et renforcées, pouvant aller jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial.

Grâce à son expertise en matière de protection des données, le cabinet vous aide à faire face à ces enjeux et à mettre votre entreprise en conformité à la réglementation française et européenne.

Services

Données personnelles & RGPD

Audit & Mise en conformité RGPD

Le cabinet propose plusieurs formules de mise en conformité RGPD pour votre entreprise. La mise en conformité consiste à cartographier vos traitements de données et à vérifier qu’ils sont conformes à la législation européenne et française en vigueur. L’analyse consiste à s’assurer que les traitements de données sont licites, nécessaires et proportionnés au but poursuivi, que les données sont suffisamment sécurisées et que les droits des personnes concernées sont respectés. Les problèmes potentiels sont identifiés et des solutions efficaces sont proposées pour y remédier.

Dans quel cas ? Un premier audit global est effectué pour l’ensemble des traitements de données réalisés par l’entreprise (données comptables, RH, clients, etc.). Par la suite, cet audit pourra être mis à jour ponctuellement lorsque des opérations de traitement sont modifiées, ou lorsque de nouvelles opérations sont créées.

Pour qui ? L’audit est utile à toute personne qui met en œuvre des opérations de collecte et de traitement des données personnelles, de l’entrepreneur individuel à la grande entreprise, en passant par la PME.

Délégué à la Protection des Données / Data Protection Officer

Le cabinet peut être votre Délégué à la Protection des Données et assurer, durant toutes les étapes de la vie de votre entreprise et pour tous ses projets, sa conformité à la législation française et européenne sur la protection des données. Contrairement à la mise en conformité, qui est une opération ponctuelle, la désignation d’un délégué à la protection des données prévient les risques sur le long terme.

Dans quel cas ? Le délégué à la protection des données assure une mission permanente de conseil et de surveillance, auprès de l’entreprise responsable des traitements de données. Il permet de maintenir dans le temps la conformité de l’entreprise au RGPD et de gérer les risques en tenant compte des évolutions technologiques et légales.

Pour qui ? Le délégué à la protection des données est utile pour les entreprises mettant en œuvre des traitements nombreux, importants en volume de données, qui évoluent dans le temps ou qui portent sur des données sensibles. Lorsque les traitements portent sur des volumes importants de données ou sur des données sensibles, la désignation d’un délégué à la protection des données est obligatoire.

Gestion des risques & Analyse d’impact

Le cabinet vous aide à prévenir et gérer les risques inhérents à l’activité de votre entreprise, en particulier lorsque son modèle économique implique la collecte ou le traitement de données personnelles. Une gestion des risques consciencieuse accroît les performances de l’entreprise et valorise son image auprès du public. Le cabinet peut, à cet égard, réaliser une analyse d’impact détaillée de vos traitements de données (article 35 RGPD).

Dans quel cas ? La gestion des risques est utile en toutes circonstances. Elle peut se concevoir dans le cadre d’une mission ponctuelle (risques liés à un projet déterminé) ou de manière plus globale au niveau de l’entreprise. Le délégué à la protection des données participe à la gestion des risques.

Pour qui ? La gestion des risques globale est particulièrement utile pour les entreprises qui traitent des données sensibles ou des volumes importants de données. Une gestion des risques ponctuelle est utile pour évaluer et prévenir les risques liés à un projet déterminé.

Cliquez ici pour prendre contact et demander un devis

Les étapes de la mise en conformité RGPD

Comprendre : Cartographier les traitements de données

La réalisation d’une « cartographie » consiste à répertorier tous les traitements de données réalisés par l’entreprise en précisant, pour chacun d’eux, ses principales modalités. Par nature synthétique, la cartographie offre une vision d’ensemble des traitements de données à l’échelle de l’entreprise.

Pour chaque traitement, la cartographie indique notamment :

  1. Les types de données traitées ;
  2. Les modes de collecte des données, les flux de données à l’intérieur de l’entreprise et leur transmission éventuelle à un sous-traitant ;
  3. Les objectifs des traitements et les méthodes de traitement ;
  4. Les modes et la durée de conservation des données.

Agir : Définir et planifier les actions de mise en conformité

Lorsque la cartographie révèle des traitements non conformes au RGPD, il devient nécessaire de définir les actions à entreprendre pour contrôler et corriger ces traitements. Ces actions doivent répondre au double objectif, d’une part, de permettre à l’entreprise de réaliser ses objectifs et, d’autre part, de respecter la réglementation relative aux données personnelles. Elles prennent donc en compte plusieurs facteurs : les ressources matérielles disponibles, les contraintes temporelles, la gestion des risques, etc.

Les actions à prévoir portent notamment sur :

  1. La restriction des données collectées à ce qui est strictement nécessaire pour accomplir les objectifs définis par l’entreprise ;
  2. L’identification du fondement juridique de la collecte et du traitement des données ;
  3. La mise en conformité des mentions légales et des messages d’information à l’attention des personnes concernées ;
  4. La mise en place de moyens pour que les personnes concernées puissent exercer leurs droits ;
  5. La vérification du respect du RGPD par les sous-traitants ou, lorsque le sous-traitant se trouve à l’étranger, la confirmation de l’existence d’accords entre l’Union européenne et l’État où le sous-traitant étranger est établi ;
  6. La sécurisation des systèmes de collecte, de traitement, de transmission et de stockage des données.

Anticiper : Gérer les risques

La mise en conformité RGPD doit être maintenue dans le temps et suivre l’évolution de la technologie et de la réglementation.

Pour anticiper les risques, il peut être utile de :

  1. Réaliser une étude d’impact (PIA) lorsque les traitements portent sur des données sensibles ou qu’ils sont de grande ampleur ;
  2. Nommer un délégué à la protection des données (DPO / Data Protection Officer), avec pour mission de maintenir la conformité RGPD dans le temps.

Informer : Documenter les traitements de données

Un rapport d’audit contenant la cartographie des données et la description des actions de mise en conformité permet au responsable du traitement de démontrer le sérieux de sa démarche auprès des autorités de contrôle.

Attention ! Ne confiez pas la mise en conformité RGPD de votre entreprise à n’importe qui !

Le rapport d’audit RGPD peut contenir des informations confidentielles, car la mise en conformité RGPD implique d’analyser en détail tous les processus de l’entreprise qui concernent des données personnelles. C’est pourquoi vous ne devriez confier une mission d’audit qu’à un employé ou un tiers de confiance tel qu’un cabinet d’avocats inscrit à un barreau français, dont le travail est entièrement soumis au secret professionnel protégé par la loi française.

FAQ - Questions/Réponses

Qu’est-ce que le RGPD ?

L’abréviation RGPD signifie « Règlement Général sur la Protection des Données ». Elle désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Le RGPD est applicable dans toute l’Union européenne depuis le 25 mai 2018.

Comme tout règlement européen, le RGPD est directement applicable en France. Il a la même force qu’une loi française.

Ce règlement est particulièrement important en ce qu’il change profondément la philosophie du droit de la protection des données personnelles. Avant le RGPD, les traitements de données devaient faire l’objet d’une déclaration préalable à la CNIL, et certains traitements de grande ampleur ou portant sur des données sensibles devaient être préalablement autorisés par la CNIL. Le RGPD supprime ces exigences de déclaration ou d’autorisation préalable, et les remplace par des règles de responsabilisation des entreprises. Il en découle qu’une entreprise ne peut s’abriter derrière une autorisation délivrée par la CNIL ; au contraire, elle doit veiller elle-même, en permanence, à ce que les traitements de données qu’elle met en œuvre soient conformes à la législation européenne.

Que sont les données personnelles ? Qu’est-ce qu’un traitement de données personnelles ?

Les données personnelles sont toutes les données qui se rapportent à une personne physique identifiée ou identifiable. Les personnes morales n’ont en principe pas de données personnelles.

L’identification d’une personne physique peut être réalisée directement grâce à certaines données (nom, adresse, numéro de sécurité sociale, etc.) ou par croisement de données (par exemple, la personne qui vit à telle adresse, travaille dans telle entreprise et conduit telle voiture).

La notion de traitement de données est conçue de manière très large par le RGPD : il s’agit de toute opération ou de tout ensemble d’opérations qui portent sur des données personnelles. Le procédé utilisé est indifférent, si bien que sont notamment des traitements de données la collecte, l’enregistrement, la consultation, la modification, le stockage, la mise à disposition, le croisement et le rapprochement des données. Sont ainsi des traitements de données, au sens du RGPD, la tenue d’un registre des clients, la gestion des paies, la gestion RH des employés, les statistiques des visites sur un site Web, etc.

Quels sont les risques pour mon entreprise ?

Les amendes pour violation du RGPD peuvent s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise sur l’exercice précédent.

Il faut bien comprendre la philosophie du RGPD : le législateur européen veut « responsabiliser » les entreprises, afin qu’elles veillent elles-mêmes à se mettre en conformité aux règles gouvernant la protection des données. Les sanctions prennent donc en compte l’attitude de l’entreprise considérée. Si la violation du RGPD est délibérée, les sanctions seront très lourdes. Au contraire, si la violation résulte d’une simple négligence de l’entreprise, les sanctions seront plus légères. Enfin, si la violation n’est pas volontaire et que l’entreprise n’a pas été négligente, l’autorité de contrôle (CNIL) peut se contenter de délivrer un avertissement et de mettre l’entreprise en demeure de faire cesser la violation. Quoi qu’il en soit, les sanctions sont « effectives, proportionnées et dissuasives ». Elles prennent en compte « la nature, la gravité et la durée de la violation » des règles relatives à la protection des données, ainsi que « la nature, la portée ou la finalité du traitement concerné » et le nombre de personnes concernées par la violation.

La meilleure façon pour une entreprise d’éviter les sanctions est de se mettre en conformité au RGPD et de nommer, au besoin, un délégué à la protection des données. Le cabinet propose ces deux services.

Que dois-je faire pour prévenir les risques ? En quoi consiste la mise en conformité RGPD ?

Pour prévenir les risques liés au traitement des données personnelles, vous devez veiller à ce que ces traitements respectent le RGPD.

Le cabinet peut vous y aider. Voici comment.

La première étape est la réalisation d’un rapport d’audit général sur les traitements de données mis en œuvre par l’entreprise. Ce rapport contient une cartographie des traitements de données et fait apparaître leurs fondements juridiques et leurs modalités techniques. Il permet donc d’avoir une vue d’ensemble de la situation et de savoir quelles actions doivent être réalisées pour se mettre en conformité au RGPD.

La deuxième étape consiste à émettre des préconisations tirant les conséquences du rapport d’audit. Ainsi, par exemple, si le rapport d’audit révèle que les données sont conservées sans limite de durée, il sera préconisé de réduire cette durée à ce qui est strictement nécessaire compte tenu de la nature de la donnée et de la manière dont elle est traitée.

En suivant les préconisations, l’entreprise se met en conformité au RGPD et montre ainsi qu’elle n’a pas été négligente. Cela lui permet, dans la plupart des cas, d’éviter les sanctions (v. ci-dessus).

Une troisième étape est parfois nécessaire, lorsque les traitements sont de grande ampleur ou lorsqu’ils portent sur des données sensibles : la réalisation d’une analyse d’impact (en anglais, privacy impact assessment). Le rapport d’audit indique, pour chaque traitement considéré, si la réalisation d’une analyse d’impact est nécessaire.

Une quatrième étape est parfois nécessaire : la désignation d’un délégué à la protection des données (en anglais, data protection officer). Le rapport d’audit général indique si cela est nécessaire. Le cabinet peut être votre délégué à la protection des données et assurer ainsi, pendant toute la durée de notre mission, la conformité de votre entreprise au RGPD.

Logo Cabinet Florimond