En savoir plus

Définition du RGPD

Le RGPD (Règlement Général sur la Protection des Données) ou en anglais GDPR (General Data Protection Regulation) est un règlement européen entré en vigueur depuis le 25 mai 2018. Il remplace toute la législation existante en matière de sécurisation des données personnelles.

Qui est concerné par le RGPD ?

Contrairement à une fausse idée reçue, le RGPD ne concerne pas seulement les grandes entreprises. Il s’applique à toute organisation (entrepreneurs indépendants, TPE, PME, collectivités, associations, organismes publics) qui collecte, stocke ou traite des données personnelles sur des citoyens européens, quels que soient sa taille et son secteur d’activité.

Cela concerne aussi les sous-traitants, les fournisseurs, le site internet, la géolocalisation, la vidéosurveillance, les badges et les salariés de son entreprise.

Attention : le règlement européen introduit désormais une co responsabilité des responsables de traitements. Cela revient à dire que non seulement toute entreprise est responsable des données qu’elle collecte, mais aussi de celles transmises à ses sous-traitants.

Il est donc impératif de vérifier que vos partenaires respectent également leurs obligations.

Ces actions doivent perdurer dans le temps pour être efficaces

Quelles sont les actions à mener pour une mise en conformité RGPD ?

Dans les détails

Registres des activités de traitements (obligatoire)

La mise en conformité du RGPD (entrée en vigueur le 25 Mai 2018) consiste en premier lieu et de façon obligatoire à mettre en œuvre et à réaliser les « Registres des activités de traitements » de l’entreprise.

Il s’agit de mettre en application les préconisations juridiques et techniques de la CNIL.

Pour chaque ensemble d’opérations traitant des données personnelles, différents registres doivent être réalisés (clients, sous-traitants, salariés, site internet, géolocalisation, vidéosurveillance, badges, etc…).

A titre d’information, un seul registre représente environ une cinquantaine de pages, ce n’est donc pas quelque chose de simple, facile et rapide à réaliser. Ainsi, réaliser un audit RGPD exige un travail minutieux qui se traduit dans les faits par une longue étude (plusieurs centaines de pages) qui se doit d’être exhaustive et précise.

La réalisation des registres consiste à cartographier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données.

Dans les différents registres, il s’agit de déterminer les acteurs, le responsable de traitement, l’entreprise, les sous-traitants, les catégories de données utilisées (pour la paie : nom, prénom, date de naissance, salaire, etc.), descriptif du risque (vol, piratage, pertes de données), l’objectif poursuivi ou la finalité (gestion du personnel, obligations légales, paiement des salaires), déterminer le flux de données (PC, disques dur externes, cloud, supports papier), qui a accès aux données (le destinataire, service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs), la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive), données nécessitant la mise en place d’une analyse d’impact (PIA), mesures de sécurité (mises en œuvre et préventions pour protéger les données à caractère personnel, identification et priorisation des actions à mener).

Dans les détails

Documentation (obligatoire)

Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire.

Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Cette documentation est constituée par exemple des registres de traitements mais également de tous les dossiers et documents réalisés lors de la mise en conformité.

Dans les détails

Registre sous-traitant (obligatoire)

En tant que sous-traitant, vous devez tenir un registre des catégories d’activités de traitement que vous effectuez pour le compte de vos clients.

Ce registre doit contenir : le nom et les coordonnées de chaque client pour le compte duquel vous traitez des données, le nom et les coordonnées de chaque sous-traitant ultérieur, le nom et les coordonnées du délégué à la protection des données, les catégories de traitements effectués pour le compte de chaque client, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en place.

Dans les détails

Prestations complémentaires (obligatoires et optionnelles - sous condition)

A ce stade l’entreprise est en mesure de déterminer les besoins de mise en place complémentaires de certains dossiers, documents ou certaines prestations selon qu’elle est concernée ou non.

C’est à cette étape également qu’elle est en mesure de définir si son prestataire informatique doit intervenir pour renforcer la sécurité informatique.

Dans les détails

Création et mise en place d’une charte informatique (optionnelle)

Elle permet de définir les règles de sécurité, d’utilisation et de protection informatiques dans l’entreprise, elle n’est pas nécessairement liée à un site internet.

Dans les détails

Avenants aux contrats de travail (obligatoire)

Le Règlement Européen sur la Protection des Données Personnelles renforce le droit des salariés.

Il est par conséquent impératif pour l’employeur de mettre à jour les contrats de travail sur deux points :

  • La définition des missions du salarié pour lesquelles ce dernier va traiter ou collecter des données personnelles ;
  • La définition des nouveaux droits du salarié (droit d’accès, rectification, etc…).
Dans les détails

Politique de Confidentialité pour site internet (obligatoire)

La Politique de Confidentialité d’un site internet doit comporter certaines dispositions pour satisfaire au Règlement Européen sur la Protection des Données :

  • Définition d’une donnée à caractère personnel ;
  • Identité du responsable de traitement ;
  • Objectif de la Politique de Confidentialité ;
  • Les données collectées ;
  • La durée de conservation des données ;
  • La base juridique sur laquelle se fonde le traitement ou la collecte de données ;
  • Etc.
Dans les détails

Conditions générales de vente (obligatoire)

Pour être en conformité avec le Règlement Européen sur la Protection des Données, les Conditions Générales de Vente doivent disposer de différentes clauses spécifiques comprenant :

  • L’identité de la société et du responsable de traitement ;
  • L’éventuelle transmission des données à un sous-traitant/tiers ;
  • La mention du droit d’accès, de rectification, de limitation, et d’effacement des données ;
  • La possibilité de s’opposer au traitement et à la portabilité des données ;
  • La possibilité de retirer son consentement au traitement effectué ;
  • La possibilité d’effectuer une réclamation auprès de l’autorité de contrôle.
  • Etc.
Dans les détails

Conditions générales d'utilisation - Données à caractère personnel pour le site internet (obligatoire)

Le Règlement Européen sur la Protection des Données impose une mise à jour des sites internet.

A ce titre, les mentions légales et Conditions Générales d’utilisation sont désormais tenues d’intégrer une clause RGPD qui doit notamment préciser :

  • Le renvoi à une Politique de Confidentialité (via un lien hypertexte) ;
  • Le droit d’accès, rectification, effacement, portabilité de vos données ou limitation du traitement de ces dernières ;
  • Identité et coordonnées du responsable de traitement.
Dans les détails

Clauses contractuelles de sous-traitance (obligatoire)

En cas de recours à la sous-traitance, le Règlement Européen sur la Protection des Données impose aux entreprises – dans son article 28-1 – de faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Par conséquent, chaque entreprise doit veiller à mettre à jour les contrats passés avec ses sous-traitants afin de se mettre en conformité avec le Règlement Européen.

A noter que ces contrats constitueront une partie de la documentation RGPD que doit mettre en place chaque entreprise afin de justifier de sa conformité au Règlement Européen.

L’avenant au contrat comprend :

  • L’objet du contrat ;
  • La description du traitement faisant l’objet de la sous-traitance ;
  • La durée du contrat ;
  • Les obligations du sous-traitant vis-à-vis du responsable de traitement ;
  • Les obligations du responsable de traitement vis-à-vis du sous-traitant.
Dans les détails

Clause d'information en cas d’utilisation de badges (obligatoire)

L’utilisation de badges pour règlementer l’accès aux locaux constitue un registre de traitements. Plusieurs données sont effectivement susceptibles d’être collectées (nom, prénom, numéro de matricule interne, numéro de badge, date d’entrée et de sortie, etc…).

Dans les détails

Clause d’information en cas de géolocalisation des véhicules des salariés (obligatoire)

L’utilisation d’un système de géolocalisation des véhicules constitue un registre de traitements. Plusieurs données sont effectivement susceptibles d’être collectées (nom, prénom, coordonnées professionnelles, matricule interne, numéro de plaque d’immatriculation du véhicule, etc…).

Dans les détails

Clause d’information en cas de vidéosurveillance sur les lieux de travail (obligatoire)

L’utilisation d’un système de vidéosurveillance constitue un registre de traitements. L’image d’un salarié, visiteur, client est une donnée et doit faire l’objet de plusieurs actions.

Dans les détails

Engagement de confidentialité pour les personnes ayant vocation à manipuler des données à caractère personnel (obligatoire)

Le responsable de traitement devant prendre toutes les mesures nécessaires pour sécuriser la collecte et le traitement des données personnelles, il est impératif de sensibiliser les personnes amenées à traiter ou collecter lesdites données.

Dans les détails

Modèle de clause pouvant être utilisée en cas de maintenance par un tiers (obligatoire)

Les opérations de maintenance réalisées par des tiers doivent faire l’objet d’un encadrement spécifique pour en maîtriser l’accès aux données.

Dans les détails

Bandeau d’information préalable si existence site internet (obligatoire)

Tout internaute se rendant sur un site internet doit être informé : des finalités précises des cookies utilisés, de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur le lien présent dans le bandeau, du fait de sa validation de l’utilisation des cookies en poursuivant sa navigation sur le site internet.

Dans les détails

Information du candidat à l'embauche (obligatoire)

Pour être en conformité avec le Règlement Européen sur la Protection des Données, le recrutement d’un salarié doit faire l’objet d’une note informative comprenant :

  • Identité de la société et du responsable de traitement ;
  • La finalité, la base juridique et le process du traitement de données ;
  • L’éventuelle transmission des données à un sous-traitant/tiers ;
  • La durée de conservation des données ;
  • La mention du droit d’accès, de rectification, de limitation, et d’effacement des données ;
  • Etc.
Dans les détails

Note informative sur la mise en place du RGPD (obligatoire)

Une note informative concernant la mise en place du RGPD doit être mise à disposition auprès des salariés, clients, fournisseurs, prestataires, sous- traitants. Elle peut être intégrée au site web.

Dans les détails

Attestation justificative mise en conformité RGPD (obligatoire)

Depuis le 25 mai 2018 et l’entrée en vigueur du Règlement Européen sur la Protection des Données, toute société ou organisme doit attester auprès de ses clients avoir réalisé cette démarche.

Dans les détails

PIA (analyse d’impact) (optionnelle)

Lorsque le traitement a pour objet ou pour effet : l’évaluation d’aspects personnels ou notation d’une personne (scoring financier), une prise de décision automatisée, la surveillance systématique de personnes (télésurveillance), le traitement de données sensibles (santé, biométrie, etc.), le traitement de données concernant des personnes vulnérables (mineurs), le traitement à grande échelle de données personnelles, le croisement d’ensembles de données, des usages innovants ou l’application de nouvelles technologies (objet connecté), l’exclusion du bénéfice d’un droit, d’un service ou contrat (liste noire).

Si les traitements de données répondent à au moins 1 de ces 9 critères, vous devez, a priori, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.

Dans les détails

DPO - Délégué à la Protection des Données (optionnelle)

Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données.

Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers.

Dans les autres cas, la désignation d’un délégué (DPO) est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.

« Responsables de traitement et sous-traitants sont tous deux placés sur un pied d’égalité en termes de responsabilité. Se mettre en conformité et veiller à ce que ses sous-traitants en fassent de même est obligatoire. »
Votre mise en conformité

Comment se déroulent les étapes de votre audit RGPD ?

  • messaging-app-4876_473fc710-9ecc-4785-9e78-8c9f00ae9498

    Phase d’Audit

    Vous recevez une fiche « préparatoire à l’entretien RGPD ». Cette fiche permet de collecter des informations utiles à la mise en conformité.

  • timekeeping-5901_5329fe42-c6a6-4dde-bf82-cc5387ef3701

    Phase de Rédaction

    Vous avez un RDV téléphonique avec un de nos juristes experts afin qu’il réalise votre audit RGPD.

  • invoice-2474_16cf5270-ffa8-4c6e-b664-5b73fe167d57

    Phase de Restitution

    Votre audit RGPD, totalement adapté à votre activité et aux réalités de votre entreprise, vous est envoyé par courriel afin que vous puissiez le stocker. Selon votre agenda et sur demande, il peut aussi être présenté par votre consultant AviséConseil.

Réunion entre collègues

Les “bonus” de notre intervention

Parce que notre accompagnement ne s’arrête pas à la seule délivrance de votre audit RGPD, vous bénéficiez d’une assistance juridique et technique illimitée au cours des 3 mois qui suivent la réalisation de la prestation par nos soins.

Comme le rappelle la CNIL, gérer la sous-traitance constitue une des obligations imposées par le RGPD. Toute entreprise ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes en termes techniques et organisationnels (rappel : la co-responsabilité de l’entreprise et de son sous-traitant en cas de fuite, vol, perte ou piratage de données personnelles si ce dernier n’a pas garanti qu’il est en conformité avec le RGPD).

C’est pour cette raison que lors de l’entretien, nos experts juristes demandent systématiquement à l’entreprise cliente si elle souhaite que nous prenions contact avec ses sous-traitants pour s’occuper de leur mise en conformité au RGPD.

Pour ce faire, nous avons conçu une lettre de mission qui nous permettra, avec votre accord, de justifier de notre démarche auprès de vos partenaires sous traitants.

  • user-group-2874_87351201-7b45-463a-9b86-0ebd80aa8fa0

    Notre mission

    Notre raison d’être est de vous apporter notre accompagnement dans les meilleures conditions techniques, éthiques et financières.

  • 24h-assistance-4792_e646a9f4-d75b-48ee-9111-6fa942cf36ea

    À votre écoute

    Fournir un service client de haut niveau et veiller à ce que chaque client soit pleinement satisfait sont essentiels pour nous.

  • lifebelt-3318_961b6f1a-b776-419e-8c86-1410d9959694

    Une équipe d’experts

    Nos experts sont dignes de confiance, dévoués et expérimentés. Ils mettront tout en œuvre pour répondre à vos problématiques.

  • royal-2995_51c8d05c-efe9-46d9-9a17-4b4e8fccfaad

    Un service de qualité

    Notre engagement passe par la livraison de prestations de qualité conformes aux obligations qui découlent de la réglementation.

La réglementation régissant le RGPD

Le RGPD est un règlement européen qui abroge la directive 95/46/CE. Il est obligatoire dans tous les États membres de l’UE et doit être appliqué dans son intégralité par toute organisation privée ou publique qui traite, stocke ou collecte des données personnelles sur des ressortissants de l’UE. Plus d’informations: CNIL.