RGPD & Données personnelles

Nous offrons une expertise en matière de nouvelles technologies, de protection de la vie privée et des données personnelles. Nous vous aidons à mettre votre entreprise en conformité au RGPD et pouvons être votre délégué à la protection des données.

Les données personnelles :
quels enjeux ?

L'émergence des nouvelles technologies et la mondialisation des échanges ont engendré un bouleversement de l'économie. Aujourd'hui, les personnes physiques rendent publiques des données les concernant qui sont collectées et exploitées par les entreprises et les autorités publiques. Cette exploitation des données permet de cibler plus précisément les personnes, de connaître leurs habitudes, leurs goûts, leurs opinions... C'est un atout certain pour les opérateurs économiques, et un danger potentiel pour les personnes concernées.

C'est la raison pour laquelle le législateur européen a imaginé le Réglement général sur la protection des données n°2016/679 (RGPD), qui définit un cadre juridique unifié pour régir la collecte et le traitement des données personnelles dans l’ensemble de l’Union européenne.

La philosohie du RGPD est novatrice : il tend à renforcer les droits des personnes en imposant aux opérateurs économiques une conformité basée sur la transparence et la responsabilisation. Ainsi, le responsable d’un traitement de données doit s’assurer que les données collectées le sont dans un cadre légal et de manière nécessaire et proportionnée à l’objectif qu’il poursuit. Ces exigences sont d’autant plus importantes que le traitement porte sur des données sensibles (données relatives à santé, aux opinions politiques, à l’appartenance syndicale, etc.). Il appartient également au responsable du traitement d’assurer la sécurité et l’intégrité des données, ainsi que la conformité à la loi de l’usage qui en est fait par ses sous-traitants. Il doit enfin veiller à ce que les personnes concernées soient informées de l'usage qui est fait de leurs données et qu'elles puissent exercer leurs droits, notamment de rectification et de suppression des données.

Cette démarche de responsabilisation impose aux entreprises de réaliser une cartographie des traitements de données, d'informer les usagers de leurs services, de notifier les failles de sécurité, voire de nommer un « délégué à la protection de données » et de réaliser une analyse d’impact sur les droits des personnes concernées. Elles doivent aussi s'adapter constamment aux évolutions du droit et de la technologie, faute de quoi elles encourent des sanctions encadrées, graduées et renforcées, pouvant aller jusqu’à 20 millions d’euro ou 4% de leur chiffre d’affaire mondial.

Grâce à notre expertise en matière de protection des données, nous vous aidons à faire face à ces enjeux et à mettre votre entreprise en conformité à la réglementation française et européenne.

Nos services

Audit & Mise en conformité RGPD

Nous proposons plusieurs formules de mise en conformité RGPD de votre entreprise. La mise en conformité consiste à cartographier vos traitements de données et à vérifier qu'ils sont conformes à la législation européenne et française en vigueur. Nous vérifions ainsi que les traitements de données sont licites, nécessaires et proportionnés au but poursuivi, que les données sont suffisamment sécurisées et que les droits de personnes concernées sont respectés. Nous identifions les problèmes potentiels et vous proposons des solutions efficaces pour y remédier.

Dans quel cas ? Un premier audit global est effectué pour l'ensemble des traitements de données réalisés par l'entreprise (données comptables, RH, clients, etc.). Par la suite, cet audit pourra être mis à jour ponctuellement lorsque des opérations de traitement sont modifiées, ou lorsque de nouvelles opérations sont créées.

Pour qui ? L'audit est utile à toute personne qui met en œuvre des opérations de collecte et de traitement des données personnelles, de l'entrepreneur individuel à la grande entreprise, en passant par la PME.

Délégué à la Protection des Données / Data Protection Officer

Nous pouvons être votre Délégué à la Protection des Données et assurer, durant toutes les étapes de la vie de votre entreprise et pour tous ses projets, sa conformité à la législation française et européenne sur la protection des données. Contrairement à la mise en conformité, qui est une opération ponctuelle, la désignation d'un délégué à la protection des données prévient les risques sur le long terme.

Dans quel cas ? Le délégué à la protection des données assure une mission permanente de conseil et de surveillance, auprès de l'entreprise responsable des traitements de données. Il permet de maintenir dans le temps la conformité de l'entreprise au RGPD et de gérer les risques en tenant compte des évolutions technologiques et légales.

Pour qui ? Le délégué à la protection des données est utile pour les entreprises mettant en œuvre des traitements nombreux, importants en volume de données, qui évoluent dans le temps ou qui portent sur des données sensibles. Lorsque les traitements portent sur des volumes importants de données ou sur des données sensibles, la désignation d'un délégué à la protection des données est obligatoire.

Gestion des risques & Analyse d'impact

Nous vous aidons à prévenir et gérer les risques inhérents à l'activité de votre entreprise, en particulier lorsque son modèle économique implique la collecte ou le traitement de données personnelles. Une gestion des risques consciencieuse accroît les performances de l'entreprise et valorise son image auprès du public. Nous pouvons, à cet égard, réaliser une analyse d'impact détaillée de vos traitements de données (article 35 RGPD).

Dans quel cas ? La gestion des risques est utile en toutes circonstances. Elle peut se concevoir dans le cadre d'une mission ponctuelle (risques liés à un projet déterminé) ou de manière plus globale au niveau de l'entreprise. Le délégué à la protection des données participe à la gestion des risques.

Pour qui ? La gestion des risques globale est particulièrement utile pour les entreprises qui traitent des données sensibles ou des volumes importants de données. Une gestion des risques ponctuelle est utile pour évaluer et prévenir les risques liés à un projet déterminé.

Les étapes de la mise en conformité RGPD

1

Comprendre : Cartographier les traitements de données

La réalisation d'une "cartographie" consiste à répertorier tous les traitements de données réalisés par l'entreprise en précisant, pour chacun d'eux, ses principales modalités. Par nature synthétique, la cartographie offre une vision d'ensemble des traitements de données à l'échelle de l'entreprise.

Pour chaque traitement, la cartographie indique notamment:

  • Les types de données traitées ;
  • Les modes de collecte des données, les flux de données à l'intérieur de l'entreprise et leur transmission éventuelle à un sous-traitant ;
  • Les objectifs des traitements et les méthodes de traitement ;
  • Les modes et la durée de conservation des données.

2

Agir : Définir et planifier les actions de mise en conformité

Lorsque la cartographie révèle des traitements non conformes au RGPD, il devient nécessaire de définir les actions à entreprendre pour contrôler et corriger ces traitements. Ces actions doivent répondre au double objectif, d'une part, de permettre à l'entreprise de réaliser ses objectifs et, d'autre part, de respecter la réglementation relative aux données personnelles. Elles prennent donc en compte plusieurs facteurs : les ressources matérielles disponibles, les contraintes temporelles, la gestion des risques, etc.

Les actions à prévoir portent notamment sur :

  • La restriction des données collectées à ce qui est strictement nécessaire pour accomplir les objectifs définis par l'entreprise ;
  • L'identification du fondement juridique de la collecte et du traitement des données ;
  • La mise en conformité des mentions légales et des messages d'information à l'attention des personnes concernées ;
  • La mise en place de moyens pour que les personnes concernées puissent exercer leurs droits ;
  • La vérification du respect du RGPD par les sous-traitants ou, lorsque le sous-traitant se trouve à l'étranger, la confirmation de l'existence d'accords entre l'Union Européenne et l'État où le sous-traitant étranger est établi ;
  • La sécurisation des systèmes de collecte, de traitement, de transmission et de stockage des données.

3

Anticiper : Gérer les risques

La mise en conformité RGPD doit être maintenue dans le temps et suivre l'évolution de la technologie et de la réglementation.

Pour anticiper les risques, il peut être utile de :

  • Réaliser une étude d'impact (PIA) lorsque les traitements portent sur des données sensibles ou qu'ils sont de grande ampleur ;
  • Nommer un délégué à la protection des données (DPO ou Data Protection Officer), avec pour mission de maintenir la conformité RGPD dans le temps.

4

Informer : Documenter les traitements de données

Un rapport d'audit contenant la cartographie des données et la description des actions de mise en conformité permet au responsable du traitement de démonter le sérieux de sa démarche auprès des autorités de contrôle.

Foire Aux Questions

Qu'est-ce que le RGPD ?

L'abréviation RGPD signifie "Réglement Général sur la Protection des Données". Elle désigne le Réglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Le RGPD est applicable dans toute l'Union Européenne depuis le 25 mai 2018.

Comme tout réglement européen, le RGPD est directement applicable en France. Il a la même force qu'une loi française.

Ce réglement est particulièrement important en ce qu'il change profondément la philosophie du droit de la protection des données personnelles. Avant le RGPD, les traitements de données devaient faire l'objet d'une déclaration préalable à la CNIL, et certains traitements de grande ampleur ou portant sur des données sensibles devaient être préalablement autorisées par la CNIL. Le RGPD supprime ces exigences de déclaration ou d'autorisation préalable, et les remplace par des règles de responsabilisation des entreprises. Il en découle qu'une entreprise ne peut s'abriter derrière une autorisation délivrée par la CNIL ; au contraire, elle doit veiller elle-même, en permanence, à ce que les traitements de données qu'elle met en œuvre soient conformes à la législation européenne.

Que sont les données personnelles ? Qu'est-ce qu'un traitement de données personnelles ?

Les données personnelles sont toutes les données qui se rapportent à une personne physique identifiée ou identifiable. Les personnes morales n'ont en principe pas de données personnelles.

L'identification d'une personnes physique peut être réalisée directement grâce à certaines données (nom, adresse, numéro de sécurité sociale, etc.) ou par croisement de données (par exemple, la personne qui vit à telle adresse, travaille dans telle entreprise et conduit telle voiture).

La notion de traitement de données est conçue de manière très large par le RGPD : il s'agit de toute opération ou de tout ensemble d'opérations qui portent sur des données personnelles. Le procédé utilisé est indifférent, si bien que sont notamment des traitements de données la collecte, l'enregistrement, la consultation, la modification, le stockage, la mise à disposition, le croisement et le rapprochement des données. Sont ainsi des traitements de données, au sens du RGPD, la tenue d'un registre des clients, la gestion des paies, la gestion RH des employés, les statistiques des visites sur un site Web, etc.

Quels sont les risques pour mon entreprise ?

Les amendes pour violation du RGPD peuvent s'élever à 20 millions d'euro ou 4% du chiffre d'affaire mondial de l'entreprise sur l'exercice précédant la violation.

Il faut bien comprendre la philosophie du RGPD : le législateur enropéen veut "responsabiliser" les entreprises, afin qu'elles veillent elles-mêmes à se mettre en conformité aux règles gouvernant la protection des données. Les sanction prennent donc en compte l'attitude de l'entreprise considérée. Si la violation du RGPD est délibérée, les sanctions seront très lourdes. Au contraire, si la violation résulte d'une simple négligence de l'entreprise, les sanctions seront plus légères. Enfin, si la violation n'est pas volontaire et que l'entreprise n'a pas été négligente, l'autorité de contrôle (CNIL) peut se contenter de délivrer un avertissement et de mettre l'entreprise en demeure de faire cesser la violation. Quoi qu'il en soit, les sanctions sont "effectives, proportionnées et dissuasives". Elles prennent en compte "la nature, la gravité et la durée de la violation" des règles relatives à la protection des données, ainsi que "la nature, la portée ou la finalité du traitement concerné" et le nombre de personnes concernées par la violation.

La meilleure façon pour une entreprise d'éviter les sanctions est de se mettre en conformité au RGPD et de nommer, au besoin, un délégué à la protection aux données. Nous proposons ces deux services.

Que dois-je faire pour prévenir les risques ? En quoi consiste la mise en conformité RGPD ?

Pour prévenir les risques liés au traitement des données personnelles, vous devez veiller à ce que ces traitements respectent le RGPD.

Nous pouvons vous y aider. Voici comment nous procédons.

La première étape est la réalisation d'un rapport d'audit général sur les traitements de données mis en œuvre par l'entreprise. Ce rapport contient une cartographie des traitements de données et fait apparaître leurs fondements juridiques et leurs modalités techniques. Il permet donc d'avoir une vue d'ensemble de la situation et de savoir quelles actions doivent être réalisées pour se mettre en conformité au RGPD.

La deuxième étape consiste à émettre des préconisations tirant les conséquences du rapport d'audit. Ainsi, par exemple, si le rapport d'audit révèle que les données sont conservées sans limite de durée, il sera préconisé de réduire cette durée à ce qui est strictement nécessaire compte tenu de la nature de la donnée et de la manière dont elle est traitée.

En suivant les préconisations, l'entreprise se met en conformité au RGPD et montre ainsi qu'elle n'a pas été négligente. Cela lui permet, dans la plupart des cas, d'éviter les sanctions (v. ci-dessus).

Une troisième étape est parfois nécessaire, lorsque les traitements sont de grande ampleur ou lorsqu'ils portent sur des données sensibles : la réalisation d'une analyse d'impact (en anglais, privacy impact assessment). Le rapport d'audit indique, pour chaque traitement considéré, si la réalisation d'une analyse d'impact est nécessaire.

Une quatrième étape est parfois nécessaire : la désignation d'un délégué à la protection des données (en anglais, data protection officer). Le rapport d'audit général indique si cela est nécessaire. Nous pouvons être votre délégué à la protection des données et assurer ainsi, pendant toute la durée de notre mission, la conformité de votre entreprise au RGPD.

Pourquoi recourir aux services d'un cabinet d'avocats plutôt qu'à un autre prestataire ?

Le rapport d'audit RGPD peut contenir des informations confidentielles, car la mise en conformité RGPD implique d'analyser en détails tous les processus de l'entreprise qui concernent des données personnelles. C'est pourquoi vous ne devriez confier une mission d'audit qu'à un employé ou un tiers de confiance tel qu'un cabinet d'avocats inscrits dans un barreau français, dont le travail est entièrement soumis au secret professionnel protégé par la loi française.

Actualités

Actualités et articles de doctrine en relation avec la protection des données personnelles

Le Privacy Shield annulé par la Cour de justice de l'Union européenne

Par un arrêt du 16 juillet 2020 (C-311/18), la Cour de justice de l'Union européenne a invalidé le Privacy Shield, mécanisme de droit européen autorisant, sous certaines condition, le transfert de données personnelles vers les États-Unis. De nombreuses entreprises européennes, qui mettent en œuvre des transferts de données vers des opérateurs américains, se retrouvent ainsi dans une situation d'insécurité juridique où la confirmité de leur activité au RGPD n'est plus assurée.

Le Conseil d'État approuve la sanction de 50 millions d'euros prononcée contre Google par la CNIL

Par un arrêt du 19 juin 2020, le Conseil d'État a rejeté le recours de Google contre la délibération de la CNIL lui infligeant une amende de 50 millions d'euro pour violation de diverses règles relatives à la protection des données personnelles.

La reconnaissance faciale des lycéens jugée contraire au RGPD

Dans son jugement du 27 février 2020, le tribunal administratif de Marseille a jugé qu'un dispositif de reconnaissance faciale, installé à l'entrée de deux lycées afin de filtrer lycéens et visiteurs, viole le RGPD et doit être interdit.

Tous les articles