Les obligations RGPD

Demande de conseil

Accueil Comprendre le RGPD Les obligations RGPD

RGPD Consulting vous présente l'ensemble des obligations RGPD

Les organismes publics et privés traitant des données à caractère personnel, qualifiés de Responsable de traitement au sens du Règlement Général sur la Protection des données (RGPD), doivent respecter de nombreuses obligations.
Découvrez avec RGPD Consulting les obligations qui incombent à votre structure :

Démontrer les démarches de mise en conformité
Mettre en oeuvre des mesures techniques et organisationnnelles
Nominer un DPO
Tenir le registre des activités de traitement
Respecter les obligations lors de la collecte des données
Répondre lorsqu'une personne exerce ses droits sur ses données personnelles
Notifier les violations des données
Réaliser une analyse d'impact
Respecter les obligations lors d'un contrôle CNIL

Les obligations fondamentales à respecter

Le RGPD prévoit une série de principes qui doivent être mis en place lorsque les Responsables de traitement traitent des données à caractère personnel.

Au sein des organismes, les données à caractère personnel doivent être :

Traitées de manière licite, loyale et transparente au regard de la personne concernée
Collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités
Adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités poursuivies
Exactes, et tenues à jour
Conservées pour une durée limitée, c’est-à-dire pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles les données à caractère personnel sont traitées

Il appartient alors à chaque organisme responsable du traitement de définir la durée de conservation des données, en fonction de leur nature, de leur utilité ou encore du but recherché.

L’obligation de démontrer les démarches de mise en conformité

Comme évoqué plus tôt, le traitement de données à caractère personnel doit respecter un certain nombre de principes :

Licéité du traitement
Loyauté dans le traitement des données à caractère personnel
Transparence dans l’utilisation des données à caractère personnel
Limitation des finalités au strict nécessaire
Minimisation des données collectées et proportionnalité au but poursuivi
Exactitude des données collectées
Limitation de la conservation des données à caractère personnel conformément à la loi
Intégrité et confidentialité dans le traitement des données à caractère personnel

Le RGPD impose ainsi au responsable de traitement de démontrer que ces principes ont été respectés lors du traitement (article 5.2 du RGPD).

Avant l’entrée en vigueur du RGPD, aucune obligation de tenir une quelconque documentation ne pesait sur les organismes traitant des données à caractère personnel. Le RGPD a changé complétement le paradigme en faisant peser sur ces organismes une obligation de preuve de leur mise en conformité et de la licéité des traitements qu’ils organisent.

Il est donc nécessaire, afin de prouver la conformité du traitement avec le RGPD, de se doter d’un arsenal juridique comportant les éléments suivants :

Une documentation relative aux traitements de données à caractère personnel organisés par l’organisme
Une documentation relative à l’encadrement des transferts de données hors Union Européenne
La preuve de l’information des personnes concernées par le traitement
Des contrats qui définissent les rôles et les responsabilités des acteurs

Apporter la preuve de la mise en conformité au RGPD est obligatoire pour le responsable de traitement. Si un organisme qualifié de Responsable de traitement ne peut rapporter la preuve de sa conformité aux dispositions du RGPD, il s’expose à de lourdes sanctions.

bandeau-cabinet

La mise en oeuvre de mesures techniques et organisationnelles

Le RGPD impose de mettre en œuvre des mesures techniques et organisationnelles afin de veiller à la protection des données à caractère personnel.

Le RGPD dresse une liste de ces mesures techniques et organisationnelles à adopter en fonction des particularités du traitement et des risques pouvant intervenir (article 32 du RGPD) :

La pseudonymisation et le chiffrement de données à caractère personnel
Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité des systèmes et des services de traitement
Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité de ces mesures techniques et organisationnelles pour assurer la sécurité du traitement

Ces mesures techniques et organisationnelles doivent être régulièrement revues et améliorées pour répondre aux exigences du RGPD.

La nomination du DPO

Le DPO (Data protection officer), ou délégué à la protection des données, DPD en français, est la personne en charge de veiller aux respects des dispositions du RGPD au sein des organismes.

Le RGPD prévoit une liste de cas dans lesquels la nomination d’un délégué à la protection des données est obligatoire (article 37 du RGPD) :

Lorsque le traitement de données à caractère personnel est effectué par une autorité publique ou un organisme public (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle)
Lorsque les activités de base de l’organisme ou de son Sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
Lorsque les activités de base de l’organisme ou du Sous-traitant consistent en un traitement à grande échelle des catégories de données dites sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions

Si la nomination d’un délégué à la protection des données n’apparait pas obligatoire pour de nombreuses entreprises, celles-ci reverront surement leur position lorsqu’ils évoqueront pour la première fois en réunion la mise en conformité de leur structure au RGPD.

Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles, et notamment ses connaissances spécialisées du droit et des pratiques relatives à la protection des données à caractère personnel. En l’absence d’un délégué à la protection des données, la tâche de mise en conformité risque de devenir un véritable enfer dans lequel il sera difficile de sortir grandi.

Nominer un membre du personnel en tant que DPO est possible mais n'est pas judicieux car cela reviendrait à propulser une personne sans compétence dans un milieu dans lequel il est nécessaire de posséder de solides bases.

Interne, ou externe, le délégué à la protection des données doit être une personne de confiance qui saura guider votre organisme dans la bonne direction.

Le DPO est le point de contact avec l’autorité de contrôle, la CNIL, avec laquelle il est chargé de coopérer. Il devra répondre à l’ensemble des demandes que la CNIL pourrait formuler à l’occasion d’un contrôle sur place, d’une réclamation, d’une consultation sur une analyse d’impact ou de la notification d’une violation de données à caractère personnel.

La tenue du registre des activités de traitement

Tous les organismes traitant des données à caractère personnel ont l’obligation de tenir un registre des activités de traitements effectuées sous leur responsabilité́ (article 30.1 du RGPD).

Ce registre constitue le journal de bord des activités de traitement, et se doit d’être tenu à jour. Il constitue la documentation fondamentale à mettre en œuvre.

Ce registre doit comporter les informations suivantes :

Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délègué à la protection des données
Les finalités des traitements de données à caractère personnel organisés
Une description des catégories de personnes concernées et des catégories de données à caractère personnel traitées
Les catégories de destinataires dont les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
Les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation
Les délais prévus pour l'effacement des différentes catégories de données
Une description générale des mesures de sécurité́ techniques et organisationnelles

Cette obligation ne s’arrête pas aux organismes traitant des données à caractère personnel. Les Sous-traitant de ces organismes, qui se voient confier de telles données, ont également l’obligation de tenir un registre de toutes les catégories d’activités de traitement effectués pour le compte du Responsable du traitement (article 30.2 du RGPD).

dpo-externalise_1

Les obligations lors de la collecte de données à caractère personnel

Dans un souci de transparence, les organismes ont l’obligation de fournir aux personnes concernées certaines informations afin de leur donner davantage de visibilité sur l’utilisation qui est faite de leurs données à caractère personnel.

Le RGPD distingue deux cas de figure :

Lorsque la collecte de données à caractère personnel a été faite directement auprès de la personne concernée.
Dans ce cas, les informations doivent être fournies par l’organisme au moment de la collecte de données (article 13 du RGPD).
Lorsque la collecte de données à caractère personnel a été faite indirectement auprès de la personne concernée.
La personne concernée doit être informée dans un délai raisonnable, et au plus tard un mois suivant la collecte de ses données à caractère personnel (article 14 du RGPD).

Dans les deux cas, qu’il s’agisse d’une collecte directe ou indirecte, les organismes se doivent de fournir aux personnes concernées les informations suivantes :

L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
Les coordonnées du délégué à la protection des données (DPO)
Les finalités du traitement auquel sont destinées les données à caractère personnel et sa base juridique
Les intérêts légitimes poursuivis par le responsable de traitement, ou un tiers, lorsqu’ils constituent la base légale
Les destinataires ou les catégories de destinataires des données à caractère personnel
L’existence d’un transfert de données hors Union Européenne et les garanties afférentes à ce transfert
La durée de conservation des données à caractère personnel ou les critères utilisés pour déterminer cette durée
Les droits des personnes sur leurs données à caractère personnel (droit de rectification, droit d’oubli, droit à la limitation du traitement, droit d’opposition)
Le droit de retirer son consentement si celui-ci sert de fondement au traitement de ces données à caractère personnel
Le droit d’introduire une réclamation auprès d’une autorité de contrôle
L’existence d’une prise de décision automatisée

Les obligations lorsqu'une personne exerce ses droits sur ses données à caractère personnel

Le RGPD renforce les droits des personnes concernées par le traitement de leurs données à caractère personnel, en leur octroyant notamment plus de contrôle sur celles-ci.

Ainsi lorsqu’une personne exerce ses droits sur ses données à caractère personnel, l’organisme en charge du traitement est assujetti à diverses obligations relatives aux droits soulevés par la personne concernée.

Le Responsable du traitement a notamment l’obligation de fournir à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée par cette dernière dans un délai d’un mois maximum à compter de la réception de la demande.

bandeau-cabinet

L’obligation de notification de violation des données

Le RGPD définit la violation de données à caractère personnel comme étant une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données (article 4.12 du RGPD).

Une violation de données à caractère personnel peut avoir des effets dévastateurs sur la vie des personnes concernées, engendrant notamment une série de conséquences susceptibles d’entrainer des dommages physiques, matériels et moraux.

C’est pourquoi le RGPD impose aux organismes une obligation de notification des violations de données à l’autorité de contrôle nationale mais également aux personnes dont les données sont concernées par la violation.

Lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes, la notification aux personnes concernées devient alors obligatoire.

Il existe donc plusieurs niveaux de notification à mettre en place :

1. La notification à l’autorité de contrôle nationale

Les organismes victimes d’une violation de données à caractère personnel doivent notifier l’autorité de contrôle, dans les 72 heures au plus tard après avoir pris connaissance de celle-ci (article 33 du RGPD).

La notification se doit de comporter un certain nombre d’éléments :

La description de la nature de la violation de données à caractère personnel y compris, si possible les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données concernées
La communication du nom et des coordonnées du DPO ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues
La description des conséquences probables de la violation de données à caractère personnel
La description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la violation de données

Si le délai de 72 heures n’est pas respecté par l’organisme, ou que des infomrations viennent à manquer, ce dernier s’expose à des sanctions administratives pouvant aller jusqu’à 10 millions d'euros d’amende, ou dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires total.

2. La notification aux personnes dont les données sont concernées

Si la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, l’organisme victime de la violation a l’obligation de communiquer la violation de données à la personne concernée dans les meilleurs délais (article 34 du RGPD).

L’appréciation du risque élevé doit se faire au regard des risques pour les droits et libertés des personnes physiques qui sont susceptibles de présenter différents degrés de probabilité et de gravité.

Des risques pour les droits et libertés des personnes physiques existent en particulier :

Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions
Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les mineurs
Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes

L’évaluation du risque élevé pour les personnes concernées se doit d’être objective. En l’absence d’une appréciation objective, et d’une volonté de transparence, l’organisme peut se voir sanctionner par l’autorité compétente.

Si le responsable de traitement n’a pas communiqué aux personnes concernées par la violation de données à caractère personnel, ou se refuse à le faire, l’autorité de contrôle compétente peut également imposer à l’organisme qu’il procède à une communication sur la violation auprès des personnes concernées.

L’obligation de réaliser une analyse d'impact

Une analyse d’impact sur la protection des données à caractère personnel (AIPD) est une étude qui doit être menée lorsqu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Une analyse d’impact doit ainsi être menée dans les cas suivants :

L’évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques
Le traitement à grande échelle de catégories particulières de données dites « sensibles » ou de données à caractère personnel relatives à des condamnations pénales et à des infractions
La surveillance systématique à grande échelle d'une zone accessible au public

Une analyse d’impact doit contenir au minimum les informations suivantes :

Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement
Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
Une évaluation des risques pour les droits et libertés des personnes concernées
Les mesures envisagées en cas de risques, y compris les garanties, mesures et mécanismes de sécurité

L’analyse d’impact sur la protection des données va permettre au responsable de traitement de réaliser un traitement de données respectueux du RGPD et de la vie privée, d’apprécier les impacts sur la vie privée des personnes concernées et de démontrer que les principes fondamentaux du RGPD sont respectés.

Les obligations lors d'un contrôle CNIL

En France, la CNIL est l’autorité compétente pour veiller au respect des dispositions du RGPD.
À cet égard, la CNIL peut opérer un contrôle pour tout traitement de données à caractère personnel mis en œuvre sur le territoire français, et ce même lorsque le Responsable du traitement est établi sur le territoire d’un autre État membre de l’Union Européenne, ou dans un pays tiers.

Lors d’un contrôle, l’organisme en charge du traitement de données à caractère personnel obéit à une obligation de coopération avec la CNIL dans l’exécution de ses fonctions (article 31 du RGPD).

Un contrôle de la CNIL constitue le risque principal pour les organismes traitant des données à caractère personnel.

Contactez-nous

Vous êtes

Vous êtes intéressé(e) par

Votre demande

Je confirme avoir pris connaissance des mentions d’informations et accepte le traitement de mes données à caractère personnelles, tel que décrit dans les mentions d’informations.