Données
personnelles

DONNÉES PERSONNELLES

Préparez votre entreprise au grand changement RGPD

1

Êtes vous concerné ?

Vous êtes une personne physique ou morale qui, à titre professionnel, à titre commercial ou gratuit, de manière principale ou accessoire, collecte, stock, gère, transfert ou utilise, directement ou indirectement, de quelconque façon des données personnelles ?

OUI VOUS ÊTES CONCERNÉ !

Qu’est ce qu’une donnée personnelle (les DP) ?

Toute information attachée à une personne physique identifiée ou identifiable directement ou indirectement, par exemple nom, image, identifiant, adresse, email, données bancaires, localisation, élément de santé, situation fiscale, sociale, raciale, religieuse, etc.

Les grands objectifs du RGPD

Réduire l’étendue des collectes de DP et les limiter au stricte nécessaire. Renforcer la sécurisation des DP. Offrir aux individus meilleur contrôle et appropriation de leurs DP.

2

CE QUE VOUS DEVEZ FAIRE

CAS #1

VOUS AVEZ DÉJÀ ENREGISTRÉ UNE DÉCLARATION OU AUTORISATION CNIL ET AUCUN ÉLÉMENT N’A DEPUIS LORS CHANGÉ (ni le type de données utilisées, ni le but de l’utilisation, ni les intervenants sur le système, ni le mode ou la durée de conservation…), VOUS DEVEZ :

1. Vérifier que les DP que vous utilisez sont strictement nécessaires à votre entreprise. Si tel n’est pas le cas, réduire les DP que vous utilisez au stricte nécessaire à votre activité.

2. Mettre en place une procédure d’alerte permettant de détecter toute atteinte aux DP en temps réel et d’alerter la CNIL et / ou la personne concernée sous 72 heures (délai légal).

3. Pour les salariés : élaborer une charte d’information interne, décrivant le système de protection et la procédure d’alerte, notamment.

4. Pour les partenaires : inclure des clauses nouvelles dans tout contrat avec les fournisseurs et partenaires intervenants avec les DP, notamment sur la procédure d’alerte et le sort des données au terme des prestations.

5. Pour les clients : inclure des clauses nouvelles dans vos CGV ou CGU, (notamment sur les nouveaux droits de portabilité et d’effacement) et de nouveaux formulaires obligatoires.

AU SURPLUS
Si votre entreprise compte plus de 250 employés OU moins de 250 employés mais que votre utilisation des DP n’est pas occasionnelle OU présente un risque pour la protection des DP OU porte sur des données dites « sensibles » (opinions politiques, origines, religions, santé, judiciaires, etc), vous devez :

6. Mettre en place un registre des DP comportant toutes les mentions obligatoires, disponible pour la CNIL à tout moment.

7. Tenir ce registre à jour de tout changement immédiatement.

AU SURPLUS
Si votre entreprise est une personne publique OU utilise des DP à grande échelle soit de façon régulière, soit portant sur des DP sensibles, vous devez:

8. Désigner un Data Protection Officer (DPO), préférablement externe à l’entreprise, en charge de vous conseiller régulièrement sur vos obligations, assurer votre compliance et être votre intermédiaire officiel avec la CNIL.

La désignation d’un DPO pour les autres entreprises n’est pas obligatoire MAIS fortement recommandé par la CNIL.

CAS #2

VOTRE ENTREPRISE N’A PAS FAIT DE DÉCLARATION / AUTORISATION CNIL AU 25 MAI 2018 OU UN QUELCONQUE ÉLÉMENT DE VOTRE SYSTÈME DÉCLARÉ A CHANGÉ, VOUS DEVEZ :

9. Respecter toutes les obligations précitées.

AU SURPLUS (sauf exceptions limitatives) vous devez AVANT toute utilisation de DP :

10. Faire réaliser une analyse d’impact conforme à toutes les exigences du RGPD.

3

SANCTIONS

Dès la mise en demeure, il peut vous être demandé la suspension des flux de DP hors UE et/ou la limitation temporaire ou définitive de votre traitement de DP.

Lors de la décision finale, les montants peuvent aller jusqu’à 10 millions d’euros ou 2% de votre chiffre d’affaires annuel mondial pour certains manquements (défaut d’analyse d’impact, collecte de trop de DP non nécessaires…) et jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires annuel mondial pour les autres.

4

COMMENT ÉVITER LES SANCTIONS ?

Mettre en place au plus vite un calendrier et budget pour élaborer, tester et déployer l’ensemble de vos nouvelles obligations précitées avant le 25 mai prochain à minuit.

5

CE QUE SIDE VOUS PROPOSE POUR VOUS Y AIDER

  • Des modèles pour tous les nouveaux documents mis à votre charge
    (charte interne, clauses partenaires, clauses CGV, formulaires, registre, etc)
  • Des modèles de process et outils pour la mise en place de la procédure d’alerte
  • Un service de DPO selon des abonnements au mois ou à l’année
  • Un service d’analyse d’impact sur mesure selon la taille de l’entreprise et l’étendue du système de DP
  • Un service de conseil et d’accompagnement à la carte 24h/24h
  • Un service contentieux réactif en cas de contrôle et/ou litige
  • Un accompagnement aux USA en cas de transferts de DP vers cet état