La CNIL renforce ses mesures chaque année pour veiller à la protection des données des utilisateurs. 2021 ne sera pas une exception. Des ajustements sont donc à prévoir pour éviter toute sanction de l’organisme. En complément de notre précédent article RGPD : la checklist des actions à mener dans votre entreprise, nous vous proposons 4 grands axes à suivre au sein de votre entreprise pour être conforme à la Réglementation de Protection Générale des Données.
1- Mise en place d’un registre des activités de traitement (prévu par l’article 30 de la RGPD).
Une des premières étapes pour la mise en conformité à la RGPD est la création et la tenue d’un registre des activités de traitement des données. Ce document se compose de la liste de tous les traitements de données effectués au sein de votre entreprise, ainsi que d’une fiche de registre permettant d’identifier plus précisément les types de traitement effectués.
La CNIL propose un modèle de registre de traitement des données pour vous faciliter la tâche.
Quels sont les objectifs du registre des activités de traitement ? Il permet d’identifier plusieurs éléments :
- Les personnes impliquées dans le traitement des données
- Les catégories de données personnelles concernées
- La finalité de traitement de ces données
- Les personnes qui accèdent aux données
- Les catégories de personnes concernées
- Les destinataires des données
- Les différentes mesures de sécurité
- Le “flux”, c’est-à-dire le parcours des données sur le territoire, en Europe et à l’international.
Il y a plusieurs cas particuliers lors de la mise en place d’un registre des activités. En fonction de l’activité de l’entreprise, de sa taille, ou autre, la déclaration du traitement des données ne comprendra pas les mêmes éléments.
Les entreprises de moins de 250 salariés
Les entreprises de moins de 250 salariés ne doivent intégrer que les traitements suivants dans le cadre de leur activité :
- Les traitements récurrents (non occasionnels) propres à la gestion d’entreprise : fichiers clients, fournisseurs, gestion du personnel, bulletin de paie ;
- Les traitements comportant un risque pour les droits et libertés des employés : système de géolocalisation, caméra de vidéosurveillance, badge d’accès ;
- Les traitements portant sur des données sensibles : les données sensibles entrent dans une catégorie particulière des données des personnes. Elles traitent des opinions politiques, des convictions religieuses ou philosophiques, de l’appartenance syndicale, des origines raciales ou ethniques, des données biométriques permettant d’identifier une personne physique de manière unique, des données de santé, des données concernant l’orientation ou la vie sexuelle d’une personne.
| Profitez de l’occasion pour mettre votre site internet en conformité ! Nous vous avons concocté une checklist spéciale RGPD 2021 sur notre blog.
Les sous-traitants
Les entreprises effectuant des traitements pour le compte d’un client sont considérées comme sous-traitantes. Elles doivent donc mettre en place un second registre de traitement : le registre du sous-traitant.
Il permet d’identifier les activités de traitement effectuées pour le compte des clients en plus des traitements internes. Il est question de recenser les obligations spécifiques en matière de sécurité, de confidentialité et de documentation des activités de traitement pour le compte d’un client.
Les entreprises sous-traitantes ont également un rôle de conseil auprès de leurs clients. Elles doivent les aider dans la mise en œuvre de certaines obligations du règlement telles que l’étude d’impact sur la vie privée, la notification de violation de données, sécurité, etc.
Afin de déterminer les obligations respectives (entre le sous-traitant et le client), il est nécessaire de rédiger un contrat de sous-traitance.
Pour en savoir plus sur le sujet, vous pouvez vous référer à l’article 28 de la RGPD ainsi qu’au guide du sous-traitant de la CNIL.
2- Tri des données
C’est le moment de vérifier que les données que vous traitez sont nécessaires à votre activité (attention aux données sensibles). Nettoyez votre base de données client si leurs données ne sont pas utiles pour votre business.
3- Consentement et droit des personnes engagées dans la collecte de données.
La finalité de la collecte de données
Vous avez le devoir d’informer de la finalité de l’utilisation des données et des droits de vos utilisateurs et clients. Soyez transparents ! Ce mécanisme doit s’enclencher chaque fois que vous collectez des données à travers un support type formulaire ou questionnaire. Ces supports doivent comporter les mentions suivantes :
- Identité et coordonnées du responsable de traitement des données
- Finalité du traitement
- Base juridique du traitement des données
- Durée de conservation des données
- Destinataire de la donnée
- Droit de porter une réclamation et les lois utilisables
Pour limiter le texte sur les supports, vous pouvez renvoyer vers votre politique de confidentialité permettant de regrouper les différentes informations sur le traitement et la protection des données des utilisateurs.
La CNIL propose plusieurs modèles de mentions sur leur site pour être en conformité.
Le consentement de la collecte de données
Vous devez mettre en place un registre de consentement permettant de conserver une preuve de consentement du recueil des données personnelles. Ce dernier comprend :
- La date et l’heure du consentement
- L’identité de l’individu
- Le mode de collecte du consentement
- L’information fournie à l’utilisateur lors de l’expression de son consentement
| Vous n’avez pas envie de lire ? Nous vous proposons une vidéo qui vous explique comment être conforme à la RGPD. Regardez Florian et Maître Dimitri Meunier, avocat expert en droit numérique !
Focus : l’analyse d’impact sur la protection des données (PIA)
Ce document vise à valider la conformité avec la RGPD et à mesurer l’impact de ces données sur la vie privée. Ce rapport est fortement conseillé dans le cas où vous cumulez 2 des critères suivants (fournis par la CNIL) lors du traitement de vos données :
- Évaluation ou notation
- Décision automatisée avec effet juridique ou effet similaire significatif
- Surveillance systématique
- Données sensibles ou données à caractère hautement personnel
- Données personnelles traitées à grande échelle
- Croisement d’ensembles de données
- Données concernant des personnes vulnérables
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles
- Exclusion du bénéfice d’un droit, d’un service ou contrat
4- Protection de vos données
Pensez à mettre en place toutes les dispositions possibles pour protéger vos données. Vous êtes tenus par une obligation légale d’assurer la sécurité des données personnelles que vous détenez. Mettez à jour vos antivirus, pensez à changer régulièrement vos mots de passe et à réguler les utilisateurs ayant accès à la donnée.
Si une violation de données personnelles est constatée, il est impératif de prévenir les personnes concernées ainsi que la CNIL sous un délai de 72h.
Voici plusieurs ressources proposées par la CNIL pour vous guider dans la mise en conformité de la gestion de vos données.
- Guide de la CNIL – La sécurité des données personnelles (pdf)
- Guide de la sécurité des données personnelles (article)
Votre site internet doit aussi se mettre en conformité : découvrez notre checklist spéciale RGPD 2021 à télécharger sur notre blog !
Besoin d’aide pour la création ou la refonte de votre site ?