Le RGPD en 2022

Partager

Table des matières

Aujourd’hui, le monde du travail est régi par la Data (données). Quasiment toutes les actions dans le cadre du travail sont documentées de nos jours. Cependant, avec cette documentation vient aussi des règles et lois à respecter pour mettre en place un ordre et une sécurité des données. Ces lois sont regroupées dans un règlement, le Règlement Général sur la Protection des Données, ou le RGPD.

Définitions

le rgpd

Qu'est-ce qu'une donnée ?

Avant de parler des lois protégeant les données, commençons par définir ces dernières. D’après le site de la CNIL (Commission nationale de l’informatique et des libertés), une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Il existe aussi un autre type de donnée, la donnée sensible. Elle correspond à une information qui révèle la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique. Ces données, avec le consentement de la personne concernée, peuvent être utilisées dans le cadre d’un traitement de données.

Un traitement de données, bien que sa notion soit très large, correspond globalement à une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé pour l’acquisition de ces dernières.

Il est très important de protéger ces données, et c’est là que le RGPD entre en jeu.

Un RGPD efficace

Pour que les services et organismes mettent en place une réglementation interne efficace pour protéger toutes les données auxquelles ils ont accès, un délégué à la protection des données est désigné pour assurer la mise en œuvre de la stratégie de protection et des conformités. Il peut être le dirigeant lui-même, un collaborateur présentant les qualités professionnelles nécessaires ou un DPO externalisé.

Il devra informer et sensibiliser, analyser, auditer et contrôler, veiller au respect du cadre légal, travailler en étroite collaboration avec le ou les responsables des traitements, établir une documentation au titre de l’Accountability, faire un rapport annuel, répondre aux demandes de la CNIL… 

C’est une responsabilité importante et obligatoire. Nous pouvons vous accompagner à mettre en place votre stratégie RGPD. En elles-mêmes, les données ne sont pas complexes, mais savoir comment les utiliser peut représenter un challenge pour certains, c’est là que nous intervenons. 

le rgpd

Recommandations de la CNIL

Nous recueillons régulièrement des données pour le compte de nos clients, de nos fournisseurs, de nos salariés… Celles-ci peuvent être en ligne ou simplement accessibles sur site. La CNIL a émis plusieurs recommandations pour assurer « un niveau de sécurité adapté aux risques » de malveillance qui pourrait entrainer l’usage frauduleux de l’ensemble de ces données :

le rgpd
  • Tracer les accès et gérer les incidents
  • Sensibiliser des utilisateurs
  • Sécuriser les postes de travail
  • Sécuriser l’informatique mobile
  • Protéger le réseau informatique interne
  • Sécuriser les serveurs
  • Sécuriser les sites web
  • Archiver de manière sécurisée
  • Encadrer la maintenance et la destruction des données
  • Gérer la sous-traitance
  • Sécuriser les échanges avec d’autres organismes
  • Protéger les locaux
  • Encadrer les développements informatiques
  • Chiffrer et signer les documents numériques

Effectivement, collecter et traiter des données personnelles constituent des risques pour la vie privée, et le RGPD (Règlement Général de la Protection des Données) donne le cadre pour assurer une sécurité maximum à toutes ces informations.

La CNIL a instauré des conséquences lourdent financièrement pour ceux qui iraient à l’encontre de ces recommandations avec « des amendes pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Le Data Protection Officer (DPO)

Pour s’assurer du respect des règles du RGPD, il est fortement conseillé, et parfois obligatoire, d’avoir un DPO dans votre entreprise. 

Qu'est-ce qu'un DPO ?

Un DPO, ou Délégué à la Protection des Données, est une personne en charge de la protection des données à caractère personnel. Il est considéré comme le contrôleur en chef pour le RGPD, il n’utilise pas les données pour un but précis, mais il fait en sorte que tout se passe bien à leur niveau. Concrètement, il est l’intermédiaire entre la CNIL et les entreprises, et c’est à lui de se charger du bon fonctionnement du RGPD. 

La notion de DPO n’a cependant pas toujours existé. En effet, elle est entrée en vigueur le 25 mai 2018 dans le chapitre 4 du RGPD, qui réglemente la désignation et la certification d’un DPO, mais également ses fonctions et ses missions. Auparavant, la fonction existait de façon facultative, sous le nom de « Correspondant Informatique et Libertés », en relation avec la loi Informatique et Libertés relative aux libertés des données personnelles en France. 

Rôle et missions du DPO

Comme nous l’avons mentionné précédemment, le DPO est considéré comme un conseiller, un intermédiaire privilégié de la CNIL, chargé de piloter la conformité au RGPD. Il est également l’interlocuteur principal pour des questions sur les données personnelles.

Ses missions comprennent entre autres :

  • Le contrôle du respect du règlement et du droit national consacré en matière de protection des données personnelles.
  • L’établissement d’une analyse d’impact relative à la protection des données et son exécution.
  • La disponibilité afin de répondre aux questions des personnes concernées.
  • La coopération avec l’autorité de contrôle locale relative au RGPD.
  • Le conseil à l’organisme au sein duquel il exerce ses fonctions.

Qualités d'un bon DPO

Votre DPO doit disposer de certaines qualités pour performer au mieux, et permettre une bonne conformité au RGPD.

Tout d’abord, il doit faire preuve de transparence. Comme le DPO contrôle des responsables de traitement de données, il est nécessaire qu’il soit clair et honnête envers ses collègues.
Votre DPO doit également être polyvalent, étant donné qu’il a plusieurs missions à accomplir (informer, contrôler, coopérer, conseiller…)
Ensuite, il doit être réactif, et accessible à tout moment, afin de répondre aux questions des personnes au sein de l’organisme.
Enfin, votre DPO doit être indépendant. Il est nécessaire qu’il soit complètement autonome, pour qu’il puisse travailler seul sans problèmes.

Est-il obligatoire ?

Avoir un DPO, bien que très recommandé, est en général non-obligatoire pour les entreprises. Cependant, l’article 37.7 du RGPD oblige les entreprises à avoir un DPO dans trois cas spécifiques :

  • Lorsque le traitement des données à caractère personnel est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement.
  • Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométriques…) ou des données personnelles relatives à des condamnations pénales.

DPO interne ou DPO externe ?

Comme nous l’avons mentionné précédemment, un DPO peut être interne ou externe. Chacun possède des avantages et inconvénients selon la situation de votre entreprise.

 

 AvantagesInconvénients

 

 

DPO interne

Bonne connaissance de l’environnement de travail (connait les interlocuteurs, valeurs, outils… de l’entreprise)

Meilleure réactivité

Mesures immédiates

Tensions entre collaborateurs (qui va reprendre le dossier ?)

Temps de formation nécessaire

Coûts compliqués à établir

Risques de conflits d’intérêt

 

 

DPO externe

Indépendance

Certification/Expérience professionnelle

Maîtrise du budget conformité RGPD

Disponibilité immédiate (sans durée de formation)

Mutualisation de la fonction au sein de l’organisme

Coût horaire/Taux journalier

Temps nécessaire pour analyse de l’existant

Vous allez alors vous demander : lequel choisir entre les deux ? Encore une fois, tout dépend de votre situation. Il faut prendre en compte les besoins RGPD (à long et court terme) de votre organisme, son contexte, sa taille et les ressources disponibles (humaines et financières).

Il vous est possible d’allier les deux, par exemple en faisant appel à un DPO externe, et en même temps, former parallèlement un DPO interne au sein de l’organisme.

Nos conseils

L’ambition est de rendre accessible au plus grand nombre les us et usages du RGPD grâce à une méthodologie simple et de qualité.

  1. Le RGPD donne des droits considérables aux consommateurs en ce qui concerne la protection de leurs données personnelles. Ces droits comprennent la limitation des données collectées en premier lieu, le contrôle de la manière dont les données sont utilisées et stockées, et l’accès à leurs données pour les modifier, les transférer ou les supprimer. Vous devez présenter aux utilisateurs la possibilité de consentir activement à votre collecte et à l’utilisation de leurs données si vous choisissez d’utiliser le consentement comme base légale de traitement. 

  2. Il est bon d’utiliser des bannières, des fenêtres pop-up, des cases à cocher et d’autres méthodes similaires pour informer vos utilisateurs des informations que vous avez l’intention de collecter et leur donner le choix d’accepter ou de refuser. Vous devez conserver une trace électronique de leur choix, horodatée au moment de leur sélection, et fournir un moyen facile de retirer le consentement.

  3. Vos clients ont aussi la possibilité de se renseigner pour savoir si votre entreprise collecte ou non leurs données personnelles. Si votre entreprise traite effectivement leurs données personnelles, alors vous êtes tenus de donner à vos utilisateurs l’accès à leurs données personnelles et de leur faire savoir pourquoi vous traitez leurs données, quels types de données personnelles sont traités, qui sont les destinataires des données et combien de temps les données seront conservées. Vous devrez également savoir comment répondre lorsque les utilisateurs exercent leurs droits.

  4. Le RGPD donne également aux personnes concernées le droit de restreindre le traitement de leurs données personnelles. Cela signifie qu’un utilisateur/client peut vous demander de cesser de traiter ou de partager ses informations, même s’il avait précédemment consenti à vos méthodes de traitement des données. La personne concernée a le droit de restreindre le traitement des données par votre entreprise si ses données personnelles sont inexactes, si le traitement est illégal, si votre entreprise n’a plus besoin des données ou si la personne concernée s’oppose au traitement.

  5. Les citoyens de l’UE peuvent vous demander de transmettre leurs données à un de vos concurrents ou à toute autre entité de leurs choix, et vous devez accéder à cette demande (CNIL). Ils ont aussi le droit de vous demander une copie de leurs données. S’ils le font, vous devez fournir les données sur demande dans un format électronique couramment utilisé afin que le consommateur puisse lire les données ou les transférer à une autre entité pour les lire. En général, il s’agit de certains types de fichiers courants tels que les fichiers csv ou les feuilles de calcul xlsx.

Conclusion

La loi sur la protection des données a énormément évolué au fil du temps, mais elle reste jusqu’à aujourd’hui essentielle, et impérative à respecter.

Les données, qu’elles soient personnelles ou sensibles, représentent vos clients, vos prospects, votre entreprise, vos employés… Elles doivent être manipulées avec beaucoup d’attention afin d’éviter toute fuite d’information et exposer l’entreprise à des risques. Il est primordial pour les entreprises d’avoir une bonne conformité RGPD, cela vous assurera un travail de qualité et sans risque, surtout de nos jours. Les données circulent tellement de nos jours, il est nécessaire de réguler leur sécurité de la manière la plus efficace possible.

Avoir un bon DPO pourra également vous éviter des surprises, et vous assurera une protection sans problèmes des données personnelles, à la fois de votre entreprise et de vos clients. Qu’il soit interne ou externe, il sera toujours un atout pour l’entreprise, et lui permettra de s’épanouir dans un environnement professionnel sécurisé et sans danger.

 

 

Notre article vous a plu ?

Nous vous invitons à consulter notre offre RGPD complète, découvrez là ici !

Plus d'articles
marketing manager making marketing distribution ch 2021 08 29 14 21 06 utc scaled

Le Content Marketing

Content Marketing Partager Comment déployer une stratégie de marketing de contenu efficace ? Table des matières Introduction Le marketing de contenu ou content marketing en

Lire plus »
Header la performance des dirigeants

LA PERFORMANCE DES DIRIGEANTS

LA PERFORMANCE DES DIRIGEANTS Partager Partager sur facebook Partager sur linkedin Partager sur twitter Introduction Être un chef d’entreprise peut se révéler compliqué aujourd’hui. Il

Lire plus »
Marketing RH

LE MARKETING RH

Aujourd’hui, nous vivons dans un monde en évolution constante. Depuis quelques années, les sociétés évoquent une politique de « diversité » en entreprise.

Lire plus »
le rgpd

LE RGPD

Aujourd’hui, nous vivons dans un monde en évolution constante. Depuis quelques années, les sociétés évoquent une politique de « diversité » en entreprise.

Lire plus »

Partners-Performance accompagne les entreprises dans la mise en application de leurs conformités RGPD.

QU'EST CE QUE LE RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018.

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne et il s’inscrit dans la continuité de la Loi relative à l’informatique, aux fichiers et aux libertés du 16/01/1978.

Le RGPD renforce le contrôle par les usagers de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique aux professionnels en le basant sur la confiance des utilisateurs.

La CNIL (Commission Nationale de l’Informatique et des Libertés) a émis plusieurs recommandations pour assurer “un niveau de sécurité adapté aux risques” de malveillance qui pourrait entrainer l’usage frauduleux de l’ensemble de ces données.

Tout organisme, quel que soit sa taille, son pays d’implantation et son activité, peut être concerné.

RGPD1


La CNIL est chargée de vérifier l’application du RGPD dans les organisations.

Les amendes peuvent s’élever jusqu’à  4 % du chiffre d’affaire annuel si le niveau de sécurité de gestion de vos données n’est pas adapté.

Partners-Performance vous accompagne dans toute la mise en œuvre de vos procédures  RGPD.

DE QUELLES DONNEES PARLONS-NOUS ?

Nous recueillons régulièrement des données pour le compte de nos clients, de nos fournisseurs, de nos salariés, …

Celles-ci peuvent être en ligne ou simplement accessibles sur site.

Ces données, mêmes confidentielles, doivent être sécurisées et traitées  pour garantir leurs usages et  les droits d’accès, de rectification ou d’effacement dont chaque personne peut se prévaloir.

Toutes les données sont concernées, qu’elles soient informatisées ou non (archives papier)

Les données personnelles

Ce sont les données qui permettent d’identifier directement ou indirectement une personne (nom, adresse e-mail, adresse IP...).

Les données sensibles

Ce sont les données de santé, les opinions politiques, l’origine ethnique, …

Collecter et traiter des données personnelles constituent des risques pour la vie privée et le RGPD (Règlement Général de la Protection des données) donne le cadre pour assurer une sécurité maximum à toutes ces informations.

LA MISE EN OEUVRE DU RGPD

Nous vérifions que toutes les conditions soient respectées et nous vous accompagnons dans toutes vos démarches, que vous ayez déjà un D.P.O (Délégué à la Protection des Données) ou non.

 

Le RGPD en 6 étapes

Information

Partners-Performance vous informe de vos obligations réglementaires et vous explique le fonctionnement du RGPD, ses objectifs et ses contraintes.

Délégation

L'encadrement humain de la gestion du projet est désigné et supervisé sous votre responsabilité. La nomination d'un délégué à la protection des données (DPO) est préconisé.

Diagnostic

Nous réalisons un diagnostic pour établir une cartographie complète de la gestion des données au sein de votre entreprise. Nous étudions les contrats de vos sous-traitants impliqués également dans l'application des normes entendues par le RGPD.

Analyse

Nous identifions les écarts et les risques pour prioriser nos actions et nous procédons à des analyses d'impact.
Nous construisons un plan d'actions pour la mise en œuvre opérationnelle et nous hiérarchisons les process.

Organisation

Nous mettons en place votre registre des traitements et nous le documentons selon vos spécificités. Nous veillons au respect du droit des personnes et assurons la sécurisation des informations, tant en terme de durée que de supports.

Gestion et suivi

Nous formons vos collaborateurs à la remontée d'informations et les sensibilisons au risque. Nous coordonnons la mise en œuvre du RGPD et nous assurons le lien entre chaque service. Nous veillons à la bonne application des directives RGPD et au respect des engagements.

Pensez à mettre à jour vos conditions de vente, vos politiques de confidentialité, vos contrats,…

L'EXTERNALISATION DU DPO

La gestion de la mise en place des procédures du RGPD peut être complexe, demander du temps et des compétences particulières.

Partners-Performance vous donne la possibilité d’externaliser l’ensemble de cette gestion à l’un de nos D.P.O. 

C’est lui qui sera en charge de la mise en place des bonnes pratiques et de l’application des directives de la CNIL dans votre entreprise selon les principes suivants :

rgpd
  • informer et conseiller sur l’importance de la sécurisation des données 
  •  mettre en place des procédures de sécurisation des données
  • contrôler l’application et le respect des procédures
  • réaliser des analyses d’impacts si nécessaire
  • être le point de contact pour l’autorité de contrôle et coopérer
  • rendre compte de l’application des bonnes pratiques

Externaliser sa gestion RGPD en faisant appel à un D.P.O,  c’est s’assurer de respect des directives de la CNIL.

Réservez un appel stratégique

Envie d’étudier la faisabilité de votre projet ? Réservez dès aujourd’hui un appel téléphonique gratuit pendant lequel nous allons vous aider à faire avancer votre business.

NOTRE RESEAU D'EXPERTS

Partners-Performance est un réseau d’Experts, professionnels de terrain et spécialistes de l’accompagnement en 360° des entreprises.

Qualifiés et bienveillants, ils sont là pour répondre à vos attentes et vous proposer un service sur-mesure.

 

Réseau d'experts
Conseil

Notre avis d'Expert

Major-Expert

Le RGPD

Aujourd’hui la transmission de données se fait sans que nous portions un regard vigilant sur leurs traitements.

Le RGPD permet de définir un cadre de gestion de l’information identique pour tous et également de garantir à chacun les mêmes droits.

Obligatoire depuis 2018, les autorités, dans un premier temps complaisantes, sont aujourd’hui sur le feu pour surveiller l’application du RGPD dans les entreprises.

Au delà de l’aspect répressif, il est à retenir que le RGPD est aujourd’hui un outil de performance et que sa mise en œuvre permet de fluidifier un grand nombre de process.

" Pour gagner, il suffit parfois d'être bien entouré. "

Bien tenté mais c'est interdit de copier ici !