Avocat Lyon Timo RAINIO blog - Avocat Lyon Droit Commercial Contrat Internet Societe Timo RAINIO

Ligne grise
Menu
Ligne grise
Aller au contenu

Comment mettre en conformité une entreprise avec le RGPD ?

Avocat Lyon Droit Commercial Contrat Internet Societe Timo RAINIO
Publié par dans Droit du numérique ·
Tags: RGPDnumeriqueavocatDPO
L’acronyme « RGPD » désigne le « Règlement européen Général sur la Protection des Données à caractère personnel » n°2016/679 (RGPD) du 27 avril 2016. Ce règlement est applicable dans tous les pays de l’Union européenne.

Toute "organisation" :
  • entreprise,
  • société,
  • entrepreneur,
  • profession libérale,
  • collectivités locales...etc.,

doit se mettre en conformité avec la réglementation prévue  par le ‘RGPD’, tant sur le plan opérationnel que technique, à partir du moment où elle collecte des ‘données personnelles’, depuis le 25 mai 2018.

Pour la suite de cet article, par mesure de simplicité et puisque le cabinet s’adresse principalement aux entreprises, nous utiliserons le terme ‘entreprise’, cependant, il faut bien comprendre que toute ‘organisation’ est concernée par le RGPD à partir du moment ou elle collecte des données personnelles



Quelles sont les sanctions en cas de non respect du « RGPD » ?

À l'issue de contrôles ou de plaintes ou en cas de manquements au RGPD ou à la loi Informatique et Libertés, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard des responsables de traitement et des sous-traitants.

Ce peut être des sanctions administratives et des sanctions pénales.

Pour les sanctions administratives :

Le non-respect de l’entreprise aux obligations nées du RGPD peuvent, à terme, entrainer une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende.

Une infraction au RGPD peut être par exemple une absence de tenue d’un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles.

Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende correspondant à 4 % du chiffre d’affaires mondial ou 20 millions d’euros d’amende peut être prononcée ou 20 millions d’euros d’amende.

Les infractions en question doivent alors concerner le manquement aux obligations suivantes :
 
  • le non respect de l’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
  • les non-respect des autres droits des personnes concernées (droit de rectification, suppression des données personnelles,
  • des transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
  • et de manière générale, les obligations découlant du droit des Etats membres
  • le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.

Ce peut être par exemple, un défaut de consentement à la collecte des données dans le cadre du RGPD, le refus de coopérer avec la CNIL après injonctions de celle-ci ou un manquement de sécurité et de prudence lors d’un transfert transfrontalier des données personnelles.

Pour les sanctions pénales :

Les articles 226-16 à 226-24 prévoient des peines jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal).

Au delà des sanctions administratives et pénales, qui sont déjà lourdes, il y a aussi un risuqe important de préjudice d’image pour l’entreprise s’il apparait qu’elle ne veille pas à la sécurité des données personnelles de ses clients.

Un manquement à la mise en conformité au RGPD peut nuire à l’image et à l’ e réputation de l’entreprise du fait de la perte de confiance des clients.

Quelles sont les principales étapes pour mettre en conformité l’entreprise avec le RGPD ?

    • Etape 1 - Savoir si votre entreprise est concernée par le RGPD et de quelle manière,
    • Etape 2 - Effectuer un audit   juridique et technique du traitement des données personnelles au sein de l’entreprise = Faire le tri des données personnelles qui sont collectées et qui dans l’entreprise les collecte (service commercial vis-à-vis des clients et prospect, service des ressources humaines pour les salariés...etc.),
    • Etape 3 - Préparer/rédiger un registre de traitement des données personnelles,
    • Etape 4 - Veillez   au respect des droits des personnes dont les données sont collectées,
    • Etape 5 - S’assurer de la sécurisation des données personnelles,
    • Etape 6 – Signalez à la CNIL les violations de données personnelles.
                                                              
Etape 1 - Savoir si votre entreprise est concernée par le RGPD et de quelle manière :

1 - Qui est concerné par le « RGPD » ?

Toutes les personnes physiques ou morales (out organisme) qui collecte des données personnelles (de personnes physiques) sont concernées.

2 - Désigner un Responsable de traitement des données personnelles dans l’entreprise :

Le « responsable du traitement des données personnelles » doit mettre en œuvre la conformité de son entreprise au RGPD.

Il s’agit en général du chef d’entreprise (le Gérant ou le Président de la société ou le professionnel libéral du cabinet).

Le « responsable du traitement des données personnelles » est également responsable quant aux agissements des sous-traitants de l’entreprise.

3 - Eveventuellement, désigner un délégué à la protection des données (DPO) :

Le délégué à la protection des données (DPO) est une personne désignée comme responsable compétent et spécialisé dans la mise en conformité de l’entreprise (ou l’organisme) au RGPD.

Le délégué à la protection des données peut être interne ou externe à l’entreprise. Il peut également être mutualisé au sein d’un groupe d’entreprises, permettant ainsi une application optimale et uniforme du RGPD au sein de chaque entreprise faisant partie du même groupe.

L’entreprise doit obligatoirement désigner un délégué à la protection des données dans trois cas :
 
  • Si l’activité consiste en des opérations de collecte qui exigent un suivi régulier et systématique à grande échelle des personnes.
  • Si l’organisme est une autorité publique ou un organisme public.
  • Si l’activité de base de l’entreprise consiste à traiter des données ,sensibles ou relatives à des condamnations pénales ou des infractions.

Dans les autres cas un délégué à la protection des données n’est pas obligatoire même s’il est vivement recommandé.

Le rôle d’un délégué à la protection des données est de veiller au respect du RGPD.

Le délégué à la protection des données renseigne la direction de l’entreprise sur les questions relatives à la protection des données. Il supervise la conformité de l’entreprise au RGPD à chaque stade des traitements de données. Il coordonne les actions à mener en matière de protection des données personnelles et collabore avec la Cnil.
Certes le délégué à la protection des données n’est pas responsable en cas de non-respect du RGPD, c’est le chef d’entreprise qui est responsable des potentiels manquements au RGPD.

Choisir un avocat DPO délégué à la protection des données permet à l’entreprise de bénéficier d’un niveau d’expertise sur ces questions complexes techniquement.
 
En effet, le délégué à la protection des données doit être à jour de la législation sur la protection des données personnelles, avoir un niveau d’expertise élevé et une connaissance globale du fonctionnement de l’entreprise.

L’entreprise peut opter pour un DPO interne ou externe. Cependant, les risques de conflit d’intérêts sont accrus si le délégué à la protection des données est un salarié interne à l’entreprise.

Par contre, un délégué à la protection des données avocat permet à l’entrprise danvoir un expert professionnel du droit compétent et exerçant en totale indépendance.

Etape 2 – Effectuer un audit juridique et technique du traitement des données personnelles au sein de l’entreprise = Faire le tri des données personnelles qui sont collectées et qui dans l’entreprise les collecte (service commercial vis-à-vis des clients et prospect, service des ressources humaines pour les salariés...etc.) :
 
L’entreprise doit procéder à une « cartographie » de l’ensemble des traitements des données personnelles qu’elle collecte dans le cadre de son activité.

Cela passe par des entretiens avec les services de l’entreprise pour lister les données qui sont collectées et la raison de leurs colelctes.

Ce type d’entretien peut être effectué en internet par le service juridique en interne ou par un cabinet d’avocat expert en droit du numérique et sur ces question de conformité au RGPD.

Cette cartographie est matérialisée dans un registre : le « registre de traitement ».

Cette cartographie des traitements a pour objectif d’identifier les opérateurs traitant des données personnelles et d’organiser la protection de ces données.

Il convient de vérifier que :
  • les données collectées sont nécessaires aux activités de l’entreprise,
  • l’entreprise collecte, ou non, des données dites « sensibles »
  • seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • les données personnelles ne seront pas conservées au-delà de ce qui est nécessaire.

Il convient également d’effectuer un historique des traitements de données personnelles.

L’objectif de cet historique est de visualiser l’origine et l’utilisation des données personnelles.

Une fois le tri des données personnelle effectué, l’entreprise va créer un registre des traitements des données personnelles, qu’elle doit régulièrement mettre à jour.

Etape 3 - Préparer/rédiger un registre de traitement des données personnelles :

Au sein du registre de traitement des données, l’entreprise doit préciser l’inventaire :
  • des différents traitements effectués,
  • des types des traitements,
  • des types de données recueillies et utilisées (leur origine, leur catégorie, un transfert éventuel des données de l’étranger ou à l’étranger),
  • des acteurs traitant des données,
  • des conditions d’exécution du traitement,
  • de la durée de conservation des données personnelles en fonction de l’origine de la collecte (par exemple pour une simple demande de devis : 15 jours et pour un contrat : 5 ans après la fin du contrat).

Télécharger un modèle de registre de traitement des données sur le site internet de la CNIL :


En plus de registre de traitement des données, l’entreprise doit, dans certains cas et selon les données personnelles qu’elle collecte (par exemple des données relatives à la santé) réaliser une analyse d’impact sur la protection des données (Privacy Impact Assessment) ou DPIA.

Elle est à effectuer préalablement à chaque traitement de données personnelles sensible pour que ceux-ci soient toujours conformes au RGPD

Cette analyse doit prévoir :
  • une description du traitement et de sa finalité en prenant en compte la nécessité réelle des données personnelles pour l’activité de l’organisme et la proportionnalité de leur collecte vis-à-vis de la finalité recherchée dans le traitement des données.
  • une appréciation de l’utilisation des données par rapport aux droits et libertés fondamentales des personnes concernées, permettant la mise en place de mesures pour restreindre les risques d’une violation de la protection des données personnelles.

La CNIL a mis à disposition des organismes un logiciel pour réaliser cette étude d'impact :


Etape 4 - Veillez au respect des droits des personnes dont les données sont collectées :

La mise en œuvre du processus de conformité de l’entreprise au RGPD passe par l’établissement, en interne, d’un plan d’action interne pour notamment :
  • demander le consentement de la personne physique dont les données sont collectées,
  • l’informer de ses droits (rectification, suppression...),
  • de la finalité
  • de la durée du traitement et de la conservation des données et de comment exercer ses droits (nom et coordonnées du responsable de traitement).

Pour les sites internet, cela passe par la charte de confidentialité ou la politique de confidentialité – RGPD, présente à cotés des conditions générales et des mentions légales.

Cependant, cette information ne passe pas seulement par l’ajout d’une charte sur le site internet pour les prospects et potentiels clients ; elle doit aussi être effectuée auprès du personnel de l’entreprise, des sous-traitants et des clients.

L’ensemble des contrats établis entre l’organisme et ses sous-traitants doit ainsi être mis en conformité avec le RGPD.

A chaque fois que l’entreprise collecte des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter les mentions d’informations suivantes :
  • La raison de la collecte des données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur),
  • ce qui autorise l’entreprise à traiter ces données personnelles (il s’agit du le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »,
  • le nom des personnes ou les services qui peuvent avoir un accès à ces données personnelles ( les services internes compétents, un prestataire, etc.),
  • le temps durant lequel les données sont conservées (exemple : « 5 ans après la fin de la relation contractuelle » ou « 15 jours pour une demande de devis sans suite »),
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié),
  • Si l’entreprise transfére des données hors de l’UE.

La CNIL propose des exemples de mentions à télécharger via cette page :


Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, l’entreprise peut présenter un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité / page vie privée sur son site internet.

L’activité de l’entreprise doit être orientée vers un objectif de protection optimale des données personnelles.

En cas de contrôle, l’entreprise doit avoir un dossier interne de mise en conformité qui comprend :
  • la documentation concernant les divers traitements de données : le registre des traitements et le cas échéant les analyses d’impact sur la protection des données (sonnées de santé),
  • l’ensemble des informations concernant les personnes touchées par le traitement des données : la preuve de l’accord / du consentement des personnes dont les données sont collectées et une fiche décrivant les procédures internes encadrant et protégeant les droits des personnes physiques
  • les contrats avec les sous-traitants et l’ensemble des documents permettant de cerner la responsabilité de chacun dans le traitement des données.
  • l’information sur un éventuel transfert des données hors Union européenne doit bien-sûr être pris en compte dans chacune des étapes de mise en conformité d’un organisme aux dispositions du RGPD.
  • l’information sur la portabilité des données.

Etape 5 - S’assurer de la sécurisation des données personnelles :

L’entreprise doit prendre les mesures nécessaires pour garantir au mieux la sécurité des données personnelles.

Elle a l’obligation d’assurer la sécurité des données personnelles qu’elle a collecté.

Les mesures informatiques ou physiques (process différent selon les services de l’entreprise), dépendent de la sensibilité des données traitées et des risques qui pèsent sur les personnes en cas de d’incident.

Sur le plan technique et pratique, il faut régulièrement mettre à jour les antivirus et logiciels, changer régulièrement des mots de passe et utilisation de mots de passe complexes, ou chiffrer les données dans certaines situations (A ce sujet pour les entreprises sous Windows 10, consultez la page : https://support.microsoft.com/fr-fr/help/4028713/windows-10-turn-on-device-encryption) .

Sur le plan technique, il faut se poser les questions suivantes au moment de la mise en confoirmité au RGPD:
  • Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
  • Les accès aux locaux sont-ils sécurisés ?
  • Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
  • L’entreprise a-t-elle mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?
  • L’entrepreneur doit avoir à l’esprit que les failles de sécurité peuvent avoir de graves conséquences pour ses clients ou ses salariés.

La Cnil présente sur son site l’exemple du restaurateur et qui permet la livraison à domicile (notamment durant cette période de crise du Covid-19). Les clients vous communiquent leur adresse précise et le code d’entrée de leur immeuble. Si ces informations sont piratées ou perdues, elles peuvent être utilisées pour s’introduire frauduleusement au domicile du client. Conséquence désastreuse pour les clients de l’entreprise, mais aussi pour l’entreprise !

La mise en conformité au RGPD ne doit pas s’analyser seulement comme une simple démarche administrative un peu complexe mais également en termes d’image vis à vois de la clientèle.

Les clients auront une meilleure image d’une entreprise qui montre qu’elle prend soin des données personnelles qu’une entreprise qui néglige ce point.

La mise aux normes à la RGPD peut alors âtre un avantage concurrentiel pour une entreprise vis-à-vis de ses concurrents.

Etape 6 - Signalez à la CNIL les éventuelles violations de données personnelles :

Si l’entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données), elle a l’obligation de la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.

Enfin, si ces risques sont élevés pour ces personnes, l’entreprise doit les informer de cette possible violation de leurs données personnelles.

Comment notre cabinet d’avocats peut vous accompagner pour mettre en conformité votre entreprise au RGPD ?

Dans le cadre de notre assistance juridique, nous vous accompagnons tout au long du processus de mise en conformité.

Nous déterminons si vous avez besoin de procéder à la nomination d’un délégué à la protection des données (DPO) et proposons les services d’un avocat DPO pour votre entreprise.
 
  • En tout état de cause, nous procédons avec vous à la désignation d’un Responsable de traitement des données (il s’agit souvent du dirigeant dans les petites et moyennes entreprises).
  • Nous vous proposons des actions de sensibilisations
  • Nous identifiions les potentiels écarts de conformité
  • Nous vous aidons à Cartographier les traitements de données personnelles et à préparer le Registre de traitement des données personnelles et les mentions légales
  • Nous vous proposons la mise en œuvre d’un plan d’action et vous délivrons des préconisations et procédures pour veiller au mieux à la sécurité des données personnelles de l’entreprise.

Le cabinet d’avocats propose un honoraire forfaitaire à partir de 2 000 € pour une mise en conformité RGPD d’une entreprise.

Selon cet honoraire forfaitaire, notre cabinet d’avocats procède à :
  • la rédaction d’un audit de conformité à présenter à la CNIL en cas de contrôle,
  • la rédaction de votre registre des activités de traitement,
  • la rédaction d’un modèle de registre de sous-traitant adapté à votre activité,
  • la mise à jour de vos conditions générales au regard de la Loi Informatique et Liberté et du RGPD,
  • la mise à jour de vos contrats de travail au regard de la Loi Informatique et Libertés et du RGPD,
  • la mise à jour de votre charte et politique de confidentialité sur le site Internet de l’entreprise.

Contactez-nous pour plus d’informations via cette page.


Me Timo RAINIO, Avocat à Lyon vous assiste et conseille, ainsi que votre entreprise.

Nous pouvons vous proposer une convention d'honoraires ou un devis après présentation de votre affaire.

Les principaux domaines d'intervention du cabinet sont :
  • droit commercial,
  • droit du travail,
  • droit du numérique,



Par Maître Timo RAINIO
Avocat


Date de l'article : 22 mai 2020

Source(s) : CNIL, Lexis360



Retourner au contenu