RGPD
1. Le Règlement général sur la protection des données (RGPD)* s’applique aux traitements de données à caractère personnel (automatisés ou non) réalisés :
- par toute entité établie au sein de l’UE,
- ou portant sur des données personnelles dont la personne concernée est établie dans l’UE.
*Règlement (UE) 2016/679 du 27/4/2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.
2. Le RGPD, dont le champ d’application est très large, est directement applicable en France à compter du 26 mai 2018.
3. Quel que soit le secteur d’activité, tous les acteurs (particuliers, entreprises, collectivités, associations, …) amenés à mettre en œuvre des traitements de données personnelles doivent donc se mettre en conformité :
- soit en tant que « responsable de traitement »*
- soit en tant que « sous-traitant »*
* Mot à ne pas prendre selon le sens courant en raison d’une terminologie propre au RGPD avec une définition particulière.
4. Abandonnant le régime déclaratif auprès de la CNIL, le RGPD instaure un principe d’auto-responsabilisation (« accountability ») obligeant tous les acteurs de manière proactive et préventive à se mettre en conformité notamment :
- Par des mesures techniques, comme par exemple :
- Processus de gestion des habilitations,
- Mesures de sécurité logique (parefeu, antimalware, antivirus, …) et physiques (accès au serveur, …)
- Par des mesures organisationnelles, comme par exemple :
- La réalisation d’analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et libertés des personnes
- Procédure écrite pour notifier à la CNIL toute violation de données à caractère personnel.
- Par des mesures juridiques, comme par exemple :
- Mise à jour des documents contractuels (devis, factures, CG, contrats de travail, RI, …),
- Vérification des mentions légales sur tous les supports (papiers et/ou électroniques) collectant des données,
- Traçabilité des actions et documentation de mise en conformité car obligation d’être, à tout moment, en mesure de démontrer sa conformité avec le RGPD.
Notre accompagnement sur-mesure
AUDIT
Délimitation du périmètre préalable
- Maison mère / filiales
- Activités spécifiques / Toutes les activités
Conduite d’entretiens avec la ou les directions (DRH, Financière / Compta, DSI, Commerciale, …) concernées de l’entreprise :
- Définition des interlocuteurs
- Durée et dates de RDV
Fourniture d’un rapport d’audit lors d’une réunion de restitution avec :
- Constats sur les fonctionnements constatés
- Ecarts éventuels avec la réglementation
- Préconisation(s) de mise en conformité
Première approche des délais de conservation en fonction des données collectées et traitées.
CONSEILS
Documentation RGPD :
- Elaboration du registre de traitement en lien avec le chef de projet et/ou le DPO interne
- Elaboration du PROJET de politique de protection des données personnelles
Documentation RH :
- PROJET de règlement intérieur intégrant le RGPD
- PROJET de charte informatique
- PROJET d’avenant au(x) contrat(s) de travail
Documentation commerciale :
- MAJ des contrats cadre, conditions générales,
- MAJ des différents formulaires de collecte de données
Site(s) Internet
- MAJ des mentions légales
- Gestion et informations sur les cookies
Transfert de compétences
Vérification que le(la) collaborateur(trice) choisi(e) remplie les conditions pour être DPO (rattachement au plus haut niveau du Cabinet, pas de conflit d’intérêts, disponibilité, légitimité, …),
Formation spécifique pour exercer le métier de DPO,
Accompagnement pragmatique pour préparer le collaborateur choisi à accomplir les missions de DPO,
Fourniture de matrices et d’outils permettant d’exercer les missions de DPO interne,
Abonnement inclus à la newsletter RGPD du Cabinet,
Support pour aider à formuler les réponses à des demandes de droit d’accès, modifications, ….
Support de second niveau en cas de besoin (contrôle de la CNIL, notification de faille de sécurité, ….).
