Comment se mettre en conformité ?

10.1.2024

Si votre entreprise effectue des traitements de données à caractère personnel, vous avez l’obligation de vous mettre en conformité avec le RGPD, sous peine de sanction. Celle-ci peut s’élever jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

Toutefois, si l’obligation de se mettre en conformité peut sembler évidente, la manière dont il convient de réaliser cette mise en conformité ne l’est probablement pas autant.

En effet, le RGPD ayant été adopté le 14 avril 2016 et entré en application le 25 mai 2018, son apparition dans l’écosystème français est encore relativement récente.
Pour y voir plus clair, voici les principales étapes à suivre pour effectuer votre mise en conformité.

1. Désigner un DPO

Le Data Protection Officer (DPO), ou délégué à la protection des données en français, est la personne désignée par l’entreprise pour mettre ses activités en conformité avec le RGPD. Le DPO peut être interne ou externe. S’il est interne, il peut être désigné parmi les membres du personnel ou recruté spécifiquement en vue de remplir sa mission. S’il est externe, le DPO exerce ses missions sur la base d'un contrat de service (RGPD, article 37, paragraphe 6).

Qu’il soit interne ou externe, le DPO ne peut être désigné que s’il dispose des qualités professionnelles requises, notamment en ce qui concerne le droit et des pratiques en matière de protection des données (RGPD, article 37, paragraphe 5).

La désignation d’un DPO est obligatoire si vous êtes une autorité publique ou un organisme public ou si vos activités de base vous conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle ou au traitement à grande échelle de données sensibles ou relatives à des condamnations pénales ou à des infractions (RGPD, article 37, paragraphe 1).

Si vous n’êtes pas concerné par cette obligation, notez tout de même que la désignation d’un DPO est vivement recommandée par la CNIL.Une fois votre DPO désigné, il vous faudra communiquer ses coordonnées à la CNIL (RGPD, article 37, paragraphe 7).

Vous pouvez procéder à vos démarches de désignation d’un DPO en toute simplicité en utilisant notre plateforme.

2. Constituer le registre des traitements

Il vous faut recenser les différentes activités de traitement de données à caractère personnel réalisées par votre entreprise et créer une fiche de traitement pour chacune de ces activités.

Chaque fiche de traitement doit comprendre un certain nombre d’informations telles que la finalité et la base légale du traitement, la nature des individus dont les données sont traitées ou encore les catégories de données collectées.Une fois les fiches de traitement réalisées, elles vous permettront d’établir votre registre des traitements.

La constitution du registre des traitements est une obligation juridique. L’article 30 du RGPD dispose ainsi que chaque responsable du traitement mais également chaque sous-traitant est tenu d’établir un registre de toutes les catégories d'activités de traitement effectuées. Le responsable du traitement, tout comme le sous-traitant, doivent être en mesure de présenter un registre des traitements complété à la CNIL si celle-ci en fait la demande.

Seules les entreprises de moins de 250 salariés ne sont pas visées par cette obligation, excepté si leur traitement de données est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte sur des données sensibles ou relatives à des condamnations pénales et à des infractions (RGPD, article 30, paragraphe 5).

Au-delà de son caractère obligatoire, le registre des traitements, s’il est bien réalisé, a un intérêt certain. Il permet en effet au DPO et à la direction de l’entreprise d’avoir une vue d’ensemble sur les traitements de données réalisés par l’organisation et sur la manière dont ces traitements sont effectués. Dès lors, il permet de déterminer les actions à mener ainsi que leur niveau de priorité et devient un outil incontournable du pilotage de la conformité de l’entreprise.

Pour vous faire gagner du temps, notre plateforme vous permet de constituer automatiquement votre registre des traitements.

3. Informer les personnes concernées

Le responsable du traitement est tenu à une information concise, transparente, compréhensible et aisément accessible des personnes concernées par le traitement de leurs données à caractère personnel. L’information, notamment si elle est destinée à un enfant, doit être exprimée de manière claire et simple (RGPD, article 12, paragraphe 1).

Dans des lignes directrices sur la transparence adoptées le 29 novembre 2017, le G29 (devenu le CEPD) précise que le caractère concis et transparent de l’information implique pour le responsable du traitement de présenter cette information de façon efficace et succincte dans le but d’éviter de noyer d’informations les personnes concernées.

La personne qui détermine les finalités et les moyens d'un traitement a ainsi l’obligation de communiquer aux personnes concernées un certain nombre d’informations telles que l'identité et les coordonnées de l’organisation ou de son représentant, les finalités et la base légale du traitement auquel sont destinées les données à caractère personnel ou encore les catégories de destinataires des données à caractère personnel (RGPD, article 13).

Cette communication d’informations ne peut s’effectuer qu’à titre gracieux, excepté si les demandes de la personne concernée sont manifestement infondées ou excessives, ce qui devra alors être démontré par le responsable du traitement. Dans ce cas, celui-ci a la possibilité d’exiger le paiement de frais raisonnables prenant en considération les coûts administratifs supportés pour satisfaire aux demandes de la personne concernée, ou tout simplement d’opposer un refus à cette personne (RGPD, article 12, paragraphe 5).

Concrètement, l’information des personnes concernées peut notamment se manifester par la rédaction et la publication de documents spécifiques, comme des mentions d’information. Nous mettons à votre disposition nos modèles de documents rédigés par des experts de la protection des données pour vous permettre d’informer rapidement et en toute conformité les personnes concernées par les traitements que vous réalisez.

4. Appréhender les risques pour les droits et libertés

Vous êtes notamment tenu de déployer les solutions techniques (chiffrement, pseudonymisation…) ainsi que les procédures appropriées afin de garantir un niveau de sécurité adapté au risque (RGPD, article 32, paragraphe 1).

Cependant, il est possible que certains traitements soient susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées. Il vous appartient alors de déterminer si les traitements que vous effectuez en font partie. Si c’est le cas, vous devrez réaliser une analyse d’impact (ou DPIA en anglais, pour Data protection impact assessment).

Il s’agit d’une étude visant à évaluer l’influence des opérations de traitement envisagées sur la protection des données à caractère personnel (RGPD, article 35, paragraphe 1).

Au-delà de l’évaluation des risques, l’analyse d’impact doit être composée d’au moins une description systématique des opérations de traitement envisagées et des finalités du traitement, d’une évaluation du caractère nécessaire et proportionné du traitement par rapport à ses finalités ainsi que des mesures prévues pour répondre aux risques (RGPD, article 35, paragraphe 7).

Pour déterminer votre besoin de procéder à une analyse d’impact, vous pouvez réaliser un pré-DPIA sur notre plateforme. Nous vous permettons également de réaliser une analyse d’impact adaptée à votre situation.

5. Gérer les éventuelles violations de données

Le RGPD définit la violation de données à caractère personnel comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données » (RGPD, article 4, paragraphe 12).

Il vous faut d’abord faire en sorte de prévenir les risques de violation en mettant en œuvre des mesures fondamentales en matière de cybersécurité. Ces mesures peuvent notamment consister en la sensibilisation des membres de votre personnel, la sécurisation du matériel informatique utilisé dans le cadre des activités de votre entreprise, la mise en place de sauvegardes régulières ou encore la définition d’une politique de mots de passe.

La rédaction d’une charte informatique portée à la connaissance de l’ensemble de vos collaborateurs représente une manière efficace d’instaurer des procédures permettant de limiter au maximum les risques de violation liés aux traitements de données à caractère personnel.

Si vous détectez une violation de données, il vous faut la notifier à la CNIL dans les meilleurs délais. Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, la notification doit être effectuée au plus tard 72 heures après que vous en ayez pris connaissance. Si vous ne respectez pas ce délai de 72 heures, il vous faudra fournir les motifs du retard (RGPD, article 33, paragraphe 1).

Cette notification doit notamment comprendre la nature de la violation, l’identité et les coordonnées de votre DPO, les conséquences probables de la violation et les mesures que vous avez prises pour y remédier (RGPD, article 33, paragraphe 3).

Si la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, il vous faut également la communiquer à la personne concernée, sauf si vous avez déjà mis en oeuvre des mesures rendant notamment incompréhensibles les données visées par la violation pour toute personne qui n'est pas autorisée à y avoir accès ou garantissant que le risque ne peut plus se matérialiser, ou si la communication impliquerait des efforts disproportionnés (RGPD, article 34, paragraphe 3).

Quel que soit le niveau de risque de la violation subie par votre entreprise, vous devez tenir une documentation comprenant notamment les faits relatifs à cette violation, ses effets et les mesures prises pour y remédier. Cette documentation devra être communiquée à la CNIL en cas de contrôle (RGPD, article 33, paragraphe 5).

De la même manière que pour le registre de traitements, nous vous permettons de constituer un registre des violations de données contenant l’ensemble des éléments obligatoires.

N’hésitez pas à prendre contact avec nous pour plus d’informations.