logo adn ervp

RGPD, actions de prévention et mises à jour

Publié le 31 mai 2024, modifié le 19 juin 2024

·

Accueil > RGPD > RGPD, actions de prévention et mises à jour

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
RGPD (source CNIL) (lien vers le règlement intégral)

Ce que dit la CNIL concernant les Mises à jour ?

Les registres des activités de traitements

Les registres des activités de traitements permettent de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD , le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. 

Sa création puis sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.

Document reference

A quelle fréquence faut-il mettre à jour les registres de traitements ?

Les registres doivent être mis à jour régulièrement au gré des évolutions fonctionnelles et techniques des traitements de données. 

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) doit être portée au registre.

En résumé, toutes les évolutions constatées dans l’entreprise nécessitent une mise à jour du plan d’action.

Ainsi chaque prévention réalisée, permettra une amélioration de la cotation du niveau de risque.

S’agissant d’un règlement pragmatique où la CNIL ne demande pas aux entreprises d’être parfaites mais de s’améliorer tous les jours, en cas de contrôle, l’organisme pourra démontrer aisément une progression régulière grâce aux différentes mises à jour.

Rappels

Qui est concerné ?

Le RGPD est obligatoire pour toute organisation (Entreprise, TPE, PME, commerce, association, collectivité, publique et privée) qui traite des données personnelles. Toute organisation est concernée dès lors qu’elle a des clients, sous-traitants, salariés, site internet, géolocalisation, vidéosurveillance, badges etc…

Quelles sont les actions à mener pour une mise en conformité RGPD ?

(Ces actions doivent perdurer dans le temps pour être efficaces). 

1. Registres des activités de traitements

Ils sont la base, le socle de départ) (obligatoire)

La mise en conformité du RGPD (entrée en vigueur le 25 Mai 2018) consiste en premier lieu et de façon obligatoire à mettre en œuvre et à réaliser les « Registres des activités de traitements » de l’entreprise. 

Il s’agit de mettre en application les préconisations juridiques et techniques de la CNIL.

Pour chaque ensemble d’opérations traitant des données personnelles, différents registres doivent être réalisés (clients, sous-traitants, salariés, site internet, géolocalisation, vidéosurveillance, badges, etc…). 

La réalisation des registres consiste à cartographier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données.

2. Documentation (obligatoire)

Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. 

Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Cette documentation est constituée par exemple des registres de traitements mais également de tous les dossiers et documents réalisés lors de la mise en conformité. C’est ce que demande la CNIL.

3. Registre sous-traitant (obligatoire)

En tant que sous-traitant, vous devez tenir un registre des catégories d’activités de traitement que vous effectuez pour le compte de vos clients.

Actions complémentaires permettant le renforcement de la conformité

Après avoir réalisé les étapes 1- 2- 3-, l’entreprise est en mesure de déterminer les actions complémentaires à réaliser selon qu’elle est concernée ou non.

C’est également à cette étape qu’elle est en mesure de définir si son prestataire informatique doit intervenir pour renforcer la sécurité informatique.

Création et mise en place d’une charte informatique (optionnelle)

Elle permet de définir les règles de sécurité, d’utilisation et de protection informatiques dans l’entreprise, elle n’est pas nécessairement liée à un site internet.

Avenants aux contrats de travail (obligatoire)

Le Règlement Européen sur la Protection des Données Personnelles renforce le droit des salariés.

Il est par conséquent impératif pour l’employeur de mettre à jour les contrats de travail sur deux points :

  • La définition des missions du salarié pour lesquelles ce dernier va traiter ou collecter des données personnelles ;
  • La définition des nouveaux droits du salarié (droit d’accès, rectification, etc…).

Politique de Confidentialité pour site internet (obligatoire)

La Politique de Confidentialité d’un site internet doit comporter certaines dispositions pour satisfaire au Règlement Européen sur la Protection des Données :

  • Définition d’une donnée à caractère personnel ;
  • Identité du responsable de traitement ;
  • Objectif de la Politique de Confidentialité ;
  • Les données collectées ;
  • La durée de conservation des données ;
  • La base juridique que laquelle se fonde le traitement ou la collecte de données ;
  • Etc.

Conditions générales de vente (obligatoire)

Pour être en conformité avec le Règlement Européen sur la Protection des Données, les Conditions Générales de Vente doivent disposer de différentes clauses spécifiques comprenant :

  • Identité de la société et du responsable de traitement ;
  • L’éventuelle transmission des données à un sous-traitant/tiers ;
  • La mention du droit d’accès, de rectification, de limitation, et d’effacement des données ;
  • La possibilité de s’opposer au traitement et à la portabilité des données ;
  • La possibilité de retirer son consentement au traitement effectué ;
  • La possibilité d’effectuer une réclamation auprès de l’autorité de contrôle.
  • Etc.

Conditions générales d’utilisation (Données à caractère personnel site internet) (obligatoire)

Le Règlement Européen sur la Protection des Données impose une mise à jour des sites internet. 

A ce titre, les mentions égales et Conditions Générales d’utilisation doivent désormais intégrer une clause RGPD qui doit notamment préciser :

  • Le renvoi à une Politique de Confidentialité (via un lien hypertexte) ;
  • Le droit d’accès, rectification, effacement, portabilité de vos données ou limitation du traitement de ces dernières ;
  • Identité et coordonnées du responsable de traitement.

Clauses contractuelles de sous-traitance (obligatoire)

Lors de l’utilisation d’un sous-traitant, le Règlement Européen sur la Protection des Données impose aux entreprises dans son article 28-1 de faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. 

Par conséquent, chaque entreprise doit veiller à mettre à jour les contrats passés avec ses sous-traitants afin de se mettre en conformité avec le Règlement Européen.

A noter de ces contrats constitueront une partie de la documentation RGPD que doit mettre en place chaque entreprise afin de justifier de sa conformité au Règlement Européen.

L’avenant au contrat comprend :

  • L’objet du contrat
  • La description du traitement faisant l’objet de la sous-traitance
  • La durée du contrat
  • Les obligations du sous-traitant vis-à-vis du responsable de traitement
  • Les obligations du responsable de traitement vis-à-vis du sous-traitant

Clause d’information en cas d’utilisation de badges (obligatoire)

L’utilisation de badges pour règlementer l’accès aux locaux constitue un registre de traitements. Plusieurs données sont effectivement susceptibles d’être collectées (nom, prénom, numéro de matricule interne, numéro de badge, date d’entrée et de sortie, etc…).

Clause d’information en cas de géolocalisation des véhicules des salariés (obligatoire)

L’utilisation d’un système de géolocalisation des véhicules constitue un registre de traitements. Plusieurs données sont effectivement susceptibles d’être collectées (nom, prénom, coordonnées professionnelles, matricule interne, numéro de plaque d’immatriculation du véhicule, etc…).

Clause d’information en cas d’utilisation de badges (obligatoire)

L’utilisation de badges pour règlementer l’accès aux locaux constitue un registre de traitements. Plusieurs données sont effectivement susceptibles d’être collectées (nom, prénom, numéro de matricule interne, numéro de badge, date d’entrée et de sortie, etc…).

Clause d’information en cas de géolocalisation des véhicules des salariés (obligatoire)

L’utilisation d’un système de géolocalisation des véhicules constitue un registre de traitements. Plusieurs données sont effectivement susceptibles d’être collectées (nom, prénom, coordonnées professionnelles, matricule interne, numéro de plaque d’immatriculation du véhicule, etc…).

Clause d’information en cas de vidéosurveillance sur les lieux de travail (obligatoire)

L’utilisation d’un système de vidéosurveillance constitue un registre de traitements. L’image d’un salarié, visiteur, client est une donnée et doit faire l’objet de plusieurs actions.

Engagement de confidentialité pour les personnes ayant vocation à manipuler des données à caractère personnel (obligatoire)

Le responsable de traitement devant prendre toutes les mesures nécessaires pour sécuriser la collecte et le traitement des données personnelles, il est impératif de sensibiliser les personnes amenées à traiter ou collecter lesdites données.

Modèle de clause pouvant être utilisée en cas de maintenance par un tiers (obligatoire)

Les opérations de maintenance réalisées par des tiers doivent faire l’objet d’un encadrement pour maîtriser l’accès aux données par des tiers.

Bandeau d’information préalable si existence site internet (obligatoire) 

Tout internaute se rendant sur un site internet doit être informé : des finalités précises des cookies utilisés, de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur le lien présent dans le bandeau, du fait de sa validation de l’utilisation des cookies en poursuivant sa navigation sur le site internet.

Information du candidat à l’embauche (obligatoire)

Pour être en conformité avec le Règlement Européen sur la Protection des Données, le recrutement d’un salarié doit faire l’objet d’une note informative comprenant :

  • Identité de la société et du responsable de traitement ;
  • La finalité, la base juridique et le process du traitement de données ;
  • L’éventuelle transmission des données à un sous-traitant/tiers ;
  • La durée de conservation des données ;
  • La mention du droit d’accès, de rectification, de limitation, et d’effacement des données ;
  • Etc.

Note informative sur la mise en place du RGPD (obligatoire)

Une note informative concernant la mise en place du RGPD doit être mise à disposition auprès des salariés, clients, fournisseurs, prestataires, sous- traitants. Elle peut être intégrée au site web.

Attestation justificative mise en conformité RGPD (obligatoire)

Depuis le 25 mai 2018 et l’entrée en vigueur du Règlement Européen sur la Protection des Données, toute société ou organisme doit attester auprès de ses clients avoir réalisé cette démarche. 

PIA (analyse d’impact) (optionnelle)

Lorsque le traitement a pour objet ou pour effet : l’évaluation d’aspects personnels ou notation d’une personne (scoring financier), une prise de décision automatisée, la surveillance systématique de personnes (télésurveillance), le traitement de données sensibles (santé, biométrie, etc.), le traitement de données concernant des personnes vulnérables (mineurs), le traitement à grande échelle de données personnelles, le croisement d’ensembles de données, des usages innovants ou l’application de nouvelles technologies (objet connecté), l’exclusion du bénéfice d’un droit, d’un service ou contrat (liste noire).

Si les traitements de données répondent à au moins 1 de ces 9 critères, vous devez, a priori, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement. 

DPO (délégué à la protection des données) (optionnelle)

Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données.

Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers.

Dans les autres cas, la désignation d’un délégué (DPO) est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.