Actualités
Dossier RGPD - Partie 2/3 : Les obligations de chaque structure face au RGPD
Obligations du ST
Collaboration RT/ST
Points de contrôle du RT sur le ST
Le RT est en charge d’évaluer le caractère suffisant des garanties fournies par le ST et devrait être en mesure de démontrer qu’il a pris sérieusement en considération tous les éléments visés dans le RGPD. Avant de choisir le ST : échange de documents pertinents (politique de protection des données, conditions de services, politique en matière de gestion de documents, politique de sécurité de l’information, procédures mises en place, rapport des audits externes, éventuelles certifications). Afin d’évaluer le caractère suffisant des garanties, devraient être pris en considération par le RT :
2 - la constitution d’un registre des activités de traitement
L’établissement et la mise à jour du registre est obligatoire à partir du moment où vous traitez des données personnelles de manière régulière (exemple : gestion de la paie), quel que soit le nombre de salariés au sein de votre société. En le constituant, vous disposerez d’une vue d’ensemble de vos activités de traitements de données et cela vous permettra de mieux connaître les flux de vos données. Il est un préalable indispensable à une éventuelle analyse d’impact (pour les traitements qui le nécessitent, comme la vidéosurveillance) et demandé systématiquement par la CNIL en cas de contrôle. Le registre est placé sous la responsabilité du dirigeant de l’entreprise. Afin d’aider les professionnels dans leur conformité, la CNIL a publié sur son site internet un modèle de registre des traitements ainsi que son propre registre.
Pour constituer le registre, il convient de procéder en plusieurs étapes :
1) Identifier vos activités nécessitant de traiter des données personnelles
Rencontrer les différents services ou interlocuteurs susceptibles de traiter des données personnelles (ressources humaines, comptabilité, marketing, etc.) afin d’élaborer une liste d’activités de traitements (exemple : recrutement, gestion administrative du personnel, gestion de la paie, gestion des clients et prospects, gestion des fournisseurs, tenue de la comptabilité, etc.)...
2) Compléter une fiche du registre pour chaque activité
Pour chaque activité recensée, créer une fiche de registre comprenant notamment :
3) Actualiser le registre dès que nécessaire
Pour être utile, le registre doit être maintenu à jour au fur et à mesure que les activités de votre entreprise évoluent (exemples : en cas de nouveaux traitements, de nouveaux destinataires de données, etc.) afin de tenir compte notamment des évolutions de la réglementation.
Exemple : « Guide du recrutement », publié par la CNIL en janvier 2023 : https://www.cnil.fr/fr/le-guide-du-recrutement.
3 - La minimisation des données et leur durée de conservation
Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour déterminer les données qui doivent être collectées, vous devez avoir identifié au préalable la finalité du traitement qui justifie la collecte, c’est-à-dire savoir pourquoi vous collectez la donnée. Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».
Les données de votre fichier ne doivent servir que pour les finalités définies au moment de leur collecte et dont vous avez informées les personnes concernées. Il s’agit de ne collecter que ce dont vous avez strictement besoin pour répondre à l’objectif défini.
Exemples de données non pertinentes ou excessives au regard de l’objectif
30/04/2024 - 09:19
Nous sommes ravis de vous présenter notre seconde lettre d’information, conçue pour vous informer et vous guider dans la mise en conformité avec le RGPD. Cette édition comprend quatre fiches pratiques qui abordent des aspects cruciaux de la protection des données et de la confidentialité.
Contrat avec des sous-traitants conformes au RGPD : La première fiche met en lumière l’importance de sélectionner des sous-traitants qui respectent les normes du RGPD. Elle souligne que tout contrat avec un sous-traitant non conforme expose à des risques juridiques et des sanctions potentielles.
Tenue d’un registre de traitement des données : La seconde fiche rappelle l’obligation légale de tenir un registre de traitement des données et précise les informations indispensables à y inclure.
Principe de minimisation des données : La troisième fiche insiste sur le principe de minimisation des données, soulignant qu’il est impératif de ne collecter que les données strictement nécessaires à des fins spécifiques, conformément au RGPD.
Respect du droit à l’information des personnes concernées : Enfin, la quatrième fiche détaille les démarches à suivre pour garantir que vous avez pleinement respecté le droit à l’information des personnes concernées par le traitement de leurs données personnelles.
1 - les relations contractuelles et points de contrôle de la conformité du sous-traitant («ST») par le responsable du traitement («RT»)
Relation contractuelle
La relation entre le RT et le ST est obligatoirement régie par un contrat écrit. Le RT est responsable du choix de son ST : il doit faire appel à un ST qui présente des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (ex : mesures de sécurité physique comme la sécurité des accès aux locaux, ou mesures de sécurité informatique comme antivirus, sécurisation des mots de passe...).
Obligations du RT
Contrat avec des sous-traitants conformes au RGPD : La première fiche met en lumière l’importance de sélectionner des sous-traitants qui respectent les normes du RGPD. Elle souligne que tout contrat avec un sous-traitant non conforme expose à des risques juridiques et des sanctions potentielles.
Tenue d’un registre de traitement des données : La seconde fiche rappelle l’obligation légale de tenir un registre de traitement des données et précise les informations indispensables à y inclure.
Principe de minimisation des données : La troisième fiche insiste sur le principe de minimisation des données, soulignant qu’il est impératif de ne collecter que les données strictement nécessaires à des fins spécifiques, conformément au RGPD.
Respect du droit à l’information des personnes concernées : Enfin, la quatrième fiche détaille les démarches à suivre pour garantir que vous avez pleinement respecté le droit à l’information des personnes concernées par le traitement de leurs données personnelles.
1 - les relations contractuelles et points de contrôle de la conformité du sous-traitant («ST») par le responsable du traitement («RT»)
Relation contractuelle
La relation entre le RT et le ST est obligatoirement régie par un contrat écrit. Le RT est responsable du choix de son ST : il doit faire appel à un ST qui présente des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (ex : mesures de sécurité physique comme la sécurité des accès aux locaux, ou mesures de sécurité informatique comme antivirus, sécurisation des mots de passe...).
Obligations du RT
- Le RT fournit et documente toute instruction relative au traitement des données par le ST. Le RT veille, avant et pendant le traitement, au respect des obligations énoncées dans le RGPD par le ST.
- Le RT supervise le traitement en menant le cas échéant des audits et des inspections avec le ST. Le non respect des règles relatives à la sous-traitance peut entraîner une amende pouvant s’élever à 10 M€ ou, dans le cas d’une entreprise, jusqu’à 2 % du CA annuel mondial.
Obligations du ST
- Le ST ne traite les données à caractère personnel (DCP) que sur instructions du RT (il doit respecter les instructions écrites du RT, notamment concernant les durées de conservation).
- Le ST veille à ce que les personnes autorisées à traiter les DCP s’engagent à respecter la confidentialité.
- Le ST prend les mesures requises pour mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
- Le ST, en cas de recours à un ST ultérieur, répercute les mesures requises sur le ST ultérieur.
- Selon le choix du RT, le ST supprime toutes les DCP ou les renvoie au terme de la prestation.
- Le ST met à la disposition du RT toutes les informations pour démontrer le respect de ses obligations en sa qualité de ST.
- Le ST tient un registre des activités de traitement en tant que ST.
- Le ST doit informer immédiatement le RT si selon lui une instruction constitue une violation du RGPD.
- Le ST doit notifier au RT toute violation de DCP dans les meilleurs délais.
Collaboration RT/ST
- Le ST aide le RT à garantir le respect des obligations en matière de sécurité des données, notification aux autorités de contrôle en cas de violation de données...
- Le ST aide le RT à réaliser les analyses d’impact.
- Le ST aide le RT à répondre aux demandes d’exercice de droits.
Points de contrôle du RT sur le ST
Le RT est en charge d’évaluer le caractère suffisant des garanties fournies par le ST et devrait être en mesure de démontrer qu’il a pris sérieusement en considération tous les éléments visés dans le RGPD. Avant de choisir le ST : échange de documents pertinents (politique de protection des données, conditions de services, politique en matière de gestion de documents, politique de sécurité de l’information, procédures mises en place, rapport des audits externes, éventuelles certifications). Afin d’évaluer le caractère suffisant des garanties, devraient être pris en considération par le RT :
- Les connaissances spécialisées du sous-traitant (par ex : expertise technique en ce qui concerne les mesures de sécurité et les violations de données).
- La fiabilité du ST et ses ressources (la réputation du ST sur le marché peut être aussi un facteur pertinent).
- L’éventuelle adhésion à un code de conduite ou à un mécanisme de certification approuvé.
Le RT doit à une fréquence adéquate vérifier les garanties du ST, y compris au moyen d’audits et d’inspections.
2 - la constitution d’un registre des activités de traitement
L’établissement et la mise à jour du registre est obligatoire à partir du moment où vous traitez des données personnelles de manière régulière (exemple : gestion de la paie), quel que soit le nombre de salariés au sein de votre société. En le constituant, vous disposerez d’une vue d’ensemble de vos activités de traitements de données et cela vous permettra de mieux connaître les flux de vos données. Il est un préalable indispensable à une éventuelle analyse d’impact (pour les traitements qui le nécessitent, comme la vidéosurveillance) et demandé systématiquement par la CNIL en cas de contrôle. Le registre est placé sous la responsabilité du dirigeant de l’entreprise. Afin d’aider les professionnels dans leur conformité, la CNIL a publié sur son site internet un modèle de registre des traitements ainsi que son propre registre.
Pour constituer le registre, il convient de procéder en plusieurs étapes :
1) Identifier vos activités nécessitant de traiter des données personnelles
Rencontrer les différents services ou interlocuteurs susceptibles de traiter des données personnelles (ressources humaines, comptabilité, marketing, etc.) afin d’élaborer une liste d’activités de traitements (exemple : recrutement, gestion administrative du personnel, gestion de la paie, gestion des clients et prospects, gestion des fournisseurs, tenue de la comptabilité, etc.)...
2) Compléter une fiche du registre pour chaque activité
Pour chaque activité recensée, créer une fiche de registre comprenant notamment :
- l’objectif poursuivi (exemple : gestion de la paie, gestion du recrutement, gestion des fournisseurs, gestion de la
- prospection commerciale...) ;
- les catégories de données utilisées (exemple : nom, prénom salaire, etc.) ;
- les catégories de personnes concernées (exemple : salarié, client, prestataire, etc.) ;
- les destinataires des données (exemple : service chargé de la paie, service comptabilité, prestataires…) ;
- la durée de conservation des données (durée pendant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archivage) ;
- le cas échéant, les transferts de données personnelles en dehors de l’UE.
3) Actualiser le registre dès que nécessaire
Pour être utile, le registre doit être maintenu à jour au fur et à mesure que les activités de votre entreprise évoluent (exemples : en cas de nouveaux traitements, de nouveaux destinataires de données, etc.) afin de tenir compte notamment des évolutions de la réglementation.
Exemple : « Guide du recrutement », publié par la CNIL en janvier 2023 : https://www.cnil.fr/fr/le-guide-du-recrutement.
3 - La minimisation des données et leur durée de conservation
Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour déterminer les données qui doivent être collectées, vous devez avoir identifié au préalable la finalité du traitement qui justifie la collecte, c’est-à-dire savoir pourquoi vous collectez la donnée. Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».
Les données de votre fichier ne doivent servir que pour les finalités définies au moment de leur collecte et dont vous avez informées les personnes concernées. Il s’agit de ne collecter que ce dont vous avez strictement besoin pour répondre à l’objectif défini.
Exemples de données non pertinentes ou excessives au regard de l’objectif
- Collecter et conserver le statut marital d’un salarié n’apparaît pas nécessaire à la gestion du recrutement au sein de votre société,
- Collecter et conserver le numéro de téléphone n’apparait pas nécessaire pour un objectif de prospection commerciale, alors que vous envisagez d’envoyer de la publicité uniquement par courrier,
- Collecter et conserver la date de naissance d’un client n’apparait pas nécessaire pour gérer la commande de ce dernier
Attention aux champs libres et aux zones commentaires
- Les progiciels de gestion de relation client disposent parfois de champs à remplir librement, appelés « zones commentaires » ou « bloc-notes ».
- Ces champs de texte libre sont utiles pour assurer le suivi d’un dossier ou pour personnaliser une relation. S’il n’est pas interdit d’y recourir, des actions de sensibilisation et des règles de gestion doivent encadrer leur utilisation pour éviter que les commentaires saisis puissent porter atteinte aux droits des personnes concernées.
- Certains commentaires peuvent en effet être désobligeants, discriminants, voire injurieux, ou encore faire apparaître des données dites « sensibles » telles que des données relatives à la santé.
- La meilleure des précautions est de garder à l’esprit que les personnes concernées (clients, usagers, salariés…) peuvent, à tout moment et sur simple demande, accéder au contenu de ces zones commentaires en exerçant leur droit d’accès (quand elles contiennent des données personnelles).
Le principe de minimisation implique également que vous ne pouvez pas conserver les données indéfiniment. Elles ne sont conservées en « base active » (gestion courante) que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.
L’identification de la durée de conservation des traitements
La définition de la durée de conservation relève de l’analyse de conformité que votre société doit mener pour son traitement. Dans certains cas, la durée de conservation est fixée par la réglementation. Mais dans la majorité des cas, il appartient au responsable de traitement de la déterminer en fonction de la finalité du traitement.
Exemples
L’identification de la durée de conservation des traitements
La définition de la durée de conservation relève de l’analyse de conformité que votre société doit mener pour son traitement. Dans certains cas, la durée de conservation est fixée par la réglementation. Mais dans la majorité des cas, il appartient au responsable de traitement de la déterminer en fonction de la finalité du traitement.
Exemples
- En tant qu’employeur, vous devez conserver un double du bulletin de paie de vos salariés pendant 5 ans (article L3243-4 du Code du travail),
- Il est conseillé de conserver les données de vos clients utilisées à des fins de prospection commerciale pendant la relation commerciale, puis pour une durée de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat...).
4 - Le respect des droits des personnes, notamment l’information des personnes concernées
Le RGPD renforce l’obligation de transparence et prévoit des droits spécifiques pour les personnes concernées, qu’il s’agisse de clients, salariés, prestataires…
Droit à l’information
Vous devez informer les personnes lors de la collecte de leurs données personnelles. Vous devez adapter la délivrance de l’information au contexte de la collecte (mentions d’information à inscrire sur vos formulaires, questionnaires, affiches, politique de confidentialité de votre site, etc.)
Autres droits des personnes concernées
Les personnes concernées ont différents droits sur leurs données, notamment :
Droit d’accès : droit pour une personne d’obtenir de votre société la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel.
Droit de rectification : droit pour une personne d’obtenir de votre société la rectification des données à caractère personnel la concernant qui sont inexactes.
Droit à l’effacement : droit pour une personne d’obtenir de votre société l’effacement, dans les meilleurs délais, de ses données à caractère personnel.
Exemple : À l’issue d’un processus de recrutement, une personne ayant candidaté au sein de votre société et non retenue souhaite faire valoir son droit à l’effacement : vous devez procéder à la suppression de ses données personnelles, incluant son CV.
Droit d’opposition : droit pour une personne de s’opposer pour des motifs légitimes au traitement de ses données par votre société, sauf si celui-ci répond à une obligation légale.
Exemple : Un de vos clients ne souhaite plus recevoir de courriels publicitaires de votre société sur sa boite mail personnelle.
Dans certains cas, des limites à l’exercice des droits peuvent exister. Par exemple, le droit à l’effacement ne doit pas aller à l’encontre du respect d’une obligation légale.
Exemple : cas d’un salarié qui part de votre société et demande la suppression de ses bulletins de paie alors que votre société a, en tant qu’employeur, l’obligation de conserver un double des bulletins de paie des salariés pendant 5 ans (article L3243-4 du Code du travail).
Vous devez notamment :
4 - Le respect des droits des personnes, notamment l’information des personnes concernées
Le RGPD renforce l’obligation de transparence et prévoit des droits spécifiques pour les personnes concernées, qu’il s’agisse de clients, salariés, prestataires…
Droit à l’information
Vous devez informer les personnes lors de la collecte de leurs données personnelles. Vous devez adapter la délivrance de l’information au contexte de la collecte (mentions d’information à inscrire sur vos formulaires, questionnaires, affiches, politique de confidentialité de votre site, etc.)
Autres droits des personnes concernées
Les personnes concernées ont différents droits sur leurs données, notamment :
Droit d’accès : droit pour une personne d’obtenir de votre société la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel.
Droit de rectification : droit pour une personne d’obtenir de votre société la rectification des données à caractère personnel la concernant qui sont inexactes.
Droit à l’effacement : droit pour une personne d’obtenir de votre société l’effacement, dans les meilleurs délais, de ses données à caractère personnel.
Exemple : À l’issue d’un processus de recrutement, une personne ayant candidaté au sein de votre société et non retenue souhaite faire valoir son droit à l’effacement : vous devez procéder à la suppression de ses données personnelles, incluant son CV.
Droit d’opposition : droit pour une personne de s’opposer pour des motifs légitimes au traitement de ses données par votre société, sauf si celui-ci répond à une obligation légale.
Exemple : Un de vos clients ne souhaite plus recevoir de courriels publicitaires de votre société sur sa boite mail personnelle.
Dans certains cas, des limites à l’exercice des droits peuvent exister. Par exemple, le droit à l’effacement ne doit pas aller à l’encontre du respect d’une obligation légale.
Exemple : cas d’un salarié qui part de votre société et demande la suppression de ses bulletins de paie alors que votre société a, en tant qu’employeur, l’obligation de conserver un double des bulletins de paie des salariés pendant 5 ans (article L3243-4 du Code du travail).
Vous devez notamment :
- Permettre aux personnes d’exercer leurs droits auprès de votre société : par exemple : via un formulaire électronique, ou via une adresse e-mail/numéro de téléphone dédiés disponibles sur votre site internet…
- Traiter ces exercices de droits dans un délai d’un mois (3 mois maximum pour une demande complexe) : mettez en place une procédure interne afin de gérer ces demandes dans le délai prévu par le RGPD.
Une personne concernée qui constaterait que votre société ne respecte pas ses droits peut adresser une plainte à la CNIL, ce qui pourrait conduire à une investigation de la commission.
Crédit photo : AdobeStock