Nous contacter ?
Nous sommes toujours en quête de nouveautés et de nouvelles rencontres.

J'ai besoin d’accompagnement dans la conception de mon projet
J’ai un projet précis, je souhaite obtenir un devis.
J’ai besoin de ressources techniques en renfort.
Votre agence m’intéresse et je souhaite postuler.
Il semblerait que vous ayez un projet en tête !
Vous pouvez nous décrire votre projet, nous vous répondrons dans les plus bref délais.
* Champs obligatoires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Tout savoir sur le RGPD et la CNIL pour l’utilisation de données personnelles

Le RGPD et la CNIL
Pour vos projets digitaux, dès que l’utilisation de données personnelles est nécessaire, il existe tout un ensemble de règles auxquelles se conformer.

Pour vos projets digitaux, dès que l’utilisation de données personnelles est nécessaire, il existe tout un ensemble de règles auxquelles se conformer. Retrouvez dans cet article toutes les informations clés pour développer vos projets et utiliser sans risques des données personnelles. Besoin de plus d’aide pour actionner vos projets ? Dans notre article Nos conseils pour bien choisir votre agence digitale nous vous aidons dans le choix de vos partenaires.

Contexte :

Quel lien entre le RGPD et la CNIL ?

Le RGPD et la CNIL sont des éléments structurant le respect des données personnelles. En effet, ils sont tout aussi importants l’un que l’autre puisque le RGPD est tout simplement un règlement, et plus précisément le Règlement Général sur la Protection des Données, et la CNIL est l’unité qui contrôle ce règlement. La CNIL (la Commission Nationale de l’Informatique et des Libertés de France) effectue quotidiennement des vérifications rigoureuses à propos du RGPD.

À propos du RGPD : 

 

Le RGPD qui signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR) a pour mission d’encadrer le traitement des données personnelles sur l’ensemble du territoire de l’Union européenne.

 

Pour ce faire, le contexte juridique s’adapte afin de suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

 

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

 

Le RGPD harmonise les règles en Europe grâce à un cadre juridique unique pour les professionnels. 

Comment appliquer le RGPD :

Professionnels qui utilisez des données personnelles veiller à 6 bons réflexes pour appliquer le RGPD: 

 

  • Constituez un registre de vos traitements de données
  • Faîtes le tri dans vos données (ne collectez que les données vraiment nécessaires)
  • Respectez le droit des personnes en matière de consultation, de rectification ou de suppression des données
  • Désignez un DPO (Délégué à la Protection des Données)
  • Ecrire une politique des données
  • Sécurisez vos données

 

D’autres aides vous sont proposées. On compte notamment la AIPD, détaillée plus loin dans cet article.

Qui est concerné par le RGPD ?

Tout organisme, quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. Le RGPD s’applique à toute les organisations, qu’elles soient publiques ou privées, et qu’elle traite des données personnelles pour son compte, ou non, dès lors :

 

  • Qu’elle est établie sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens.

 

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.

 

De même, qu’une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

 

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

 

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Les 7 bons réflexes recommandés pour respecter le RGPD

 

  • Le principe de minimisation des données


Définissez le but de votre collecte de données, pour déterminer uniquement les données déterminées et justifiées. En d’autres termes, il n’est pas recommandé de récolter les autres données “au cas où”. Appliquer ce principe de minimisation, limite la collecte aux seules données réellement nécessaires à votre projet. 


  • Le principe de Privacy by design


Tenez garde à à prendre en compte la sécurité des données personnelles, et ce, dès la conception de votre projet. 


  •  Obligation de transparence

 

Les individus doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’ils soient clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte. Les données ne peuvent en aucun cas être collectées à leur insu. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.


  • Le principe de portabilité des données et du droit à l’oubli


Il est impératif d’organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition. Veillez également à respecter le consentement des utilisateurs.


  • Fixez la durée de conservation des données

 

Il est interdit de conserver des données indéfiniment. 

Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, uniquement le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent ensuite être détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.


  • Sécurisez les données récoltées et identifiez les risques 


Vous devez garantir la sécurité des données que vous venez de récolter, et pour ce faire prendre toutes les mesures utiles : sécurité physique ou sécurité informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques. Cela consiste aussi à s’assurer que seuls les tiers autorisés par des textes ont accès aux données. Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.


  • Inscrivez cette mise en conformité dans une démarche continue

 

La conformité n’est pas gravée dans le marbre et figée.

Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en œuvre. C’est pourquoi, il faut vérifier régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.

 

À propos de la CNIL 

La CNIL veille a pour mission de veiller à l’efficience du RGPD. On regroupe ainsi son activité en 4 missions principales : 

Mission n°1 – Informer, protéger les droits

La première mission de la CNIL est d’informer, en répondant aux demandes des particuliers et des professionnels. N’importe qui peut en effet s’adresser à la CNIL en cas de quelconques difficultés dans l’exercice de ses droits en lui adressant une plainte.

 

Pour ce faire, elle organise des actions de communication à destination du grand public, dans la presse, via son site web, ou encore via ses réseaux sociaux grâce à des contenus pertinents, ou encore en mettant à disposition des outils pédagogiques. La CNIL est plus souvent contactée par des sociétés ou des institutions pour mettre en place ces actions de formation et de sensibilisation au RGPD. Il y a également, des salons, des colloques ou des conférences, qui sont organisées pour pouvoir informer le grand public.

 

La CNIL veille à ce que les citoyens accèdent simplement et efficacement  aux données contenues dans les traitements les concernant. C’est pourquoi, n’importe qui peut adresser une plainte, une demande précise à la CNIL à propos de : 

 

  • La réputation en ligne (demandes de suppression de contenus sur internet) ;
  • Le commerce (opposition à recevoir des courriels publicitaires) ;
  • Les ressources humaines (vidéosurveillance, géolocalisation des véhicules) ;
  • La banque et le crédit (contestation de l’inscription dans l’un des fichiers de la banque de France).

Mission n°2 – Accompagner la conformité / conseiller

La mission de mise en conformité de la CNIL est l’objectif prioritaire du régulateur qu’est la CNIL. 

La conformité est très importante puisqu’elle représente un indicateur de bonne gouvernance. Elle répond en effet à des enjeux de réputation, ou de confiance, et c’est dans ce sens un avantage concurrentiel pour les entreprises.

Afin d’aider les organismes privés et publics à se mettre en conformité avec le RGPD, la CNIL propose une boîte à outils complète et adaptée en fonction de leur taille et de leurs besoins.

 

Ainsi en 2021: 

 

  • il y a 81 393 organismes qui ont désigné un délégué à la protection des données

 

Les activités de conseil de la CNIL concernent par exemple des avis sur des projets de texte d’origine gouvernementale à propos de la protection des données personnelles ou créant de nouveaux fichiers, conseils, participation à des auditions parlementaires.

Dans ce cas de figure, le rôle de la CNIL est de veiller à la recherche de solutions pour les organismes publics et privés.

Mission n°3 – Anticiper et innover

 

La CNIL a également pour activité celle d’innovation et de prospective. Dans cette dynamique, elle s’intéresse aux signaux faibles et aux sujets émergents.

 

Elle participe donc à la constitution d’un débat de société, portant sur des enjeux éthiques des données. Elle est ainsi à l’origine d’une mise en dialogue avec les écosystèmes d’innovation du numérique.

Elle développe des solutions technologiques protectrices de la vie privée en conseillant les entreprises le plus en amont possible, dans une logique de privacy by design.

 

La CNIL anime aussi un comité d’experts extérieurs à la CNIL comportant 18 membres avec des profils et expertises variées.

 

Enfin, une loi a été confiée à la CNIl , celle de la loi pour une République numérique du 7 octobre 2016, ayant pour mission de conduire une réflexion sur les enjeux éthiques et les questions de société soulevés par l’évolution des technologies numériques.

 

Mission n°4 – Contrôler et sanctionner

Grâce à cette dernière mission, la CNIL peut contrôler les organismes et en cas de manquements et de non-respects constatés, elle peut décider de les mettre en demeure ou de les sanctionner.

 

La CNIL contrôle lors d’une intervention auprès des responsables de traitement de données personnelles. Elle vérifie ainsi sur place, a mise en œuvre concrète de la loi. 

 

L’avertissement est une nouvelle « mesure correctrice » prévue par le RGPD, introduite en droit français par la loi du 20 juin 2018 : la présidente de la CNIL peut avertir un organisme que le traitement de données qu’il envisage, à un stade où celui-ci n’est pas encore opérationnel, est susceptible de méconnaître les textes applicables. Il ne s’agit donc pas d’une sanction, mais d’une mesure visant à éviter, à titre préventif, le déploiement du dispositif.

 

Les mises en demeure

 

La Présidente de la CNIL a la possibilité de mettre en demeure des organismes qui ne respectent pas des dispositions du RGPD ou de la loi de se mettre en conformité dans un délai imparti. Ces mises en demeure peuvent être rendues publiques selon la gravité des manquements constatés ou du nombre de personnes concernées.

 

La procédure de sanction de la CNIL

A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard des responsables de traitements qui ne respectent pas ces textes.

 

Quels sont les risques ?

 

Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

 

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative.

 

Violations de données, quelques chiffres:

 À propos de la AIPD 

L’analyse d’impact relative à la protection des données (AIPD)

 

L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

 

L’AIPD est un outil important pour la responsabilisation des organismes : elle vous aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

 

L’AIPD se décompose en trois parties 

 

  • Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
  • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux  (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que  leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

 

Quand est-ce qu’une analyse d’impact est obligatoire ?

 

Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

 

Comment fait-on une analyse d’impact, existe-t-il une méthode pour faire une analyse d’impact ?

Une analyse d’impact comporte : 

  • Une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • Une évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

 

Sources :

  • https://www.cnil.fr/sites/default/files/atoms/files/cybersecurite_-_chiffres_2021.pdf
  • https://www.cnil.fr/fr/adopter-les-six-bons-reflexes
  • https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd

Sur la même thématique