Toute entreprise qui réalise un traitement de données (gestion de la paie, recrutement, fichier clients ou fournisseurs...) doit respecter le . Il s'applique à , , dès lors qu'elle est établie sur le territoire de l’ ou que son activité cible directement des résidents européens. Règlement général sur la protection des données (RGPD) toute entreprise quelle que soit sa taille et son secteur d'activité Union européenne
Il est nécessaire de définir la notion de pour comprendre ce que recouvre le . donnée personnelle traitement de données personnelles
Une donnée personnelle ou « » est une (ex : nom, prénom, numéro de sécurité sociale, adresse, numéro de téléphone, adresse mail, photo, empreinte, donnée de géolocalisation, adresse IP ou identifiant en ligne). donnée à caractère personnel information se rapportant à une personne physique identifiée ou identifiable
Une personne est dite lorsque l'on connaît son identité. Une personne est lorsqu'elle peut être identifiée, quand bien même ses nom et prénom resteraient inconnus, à partir du (ex : une femme vivant à telle adresse, née tel jour et membre de telle association). identifiée identifiable croisement d'un ensemble de données
Peu importe que l'information soit et sur lequel se trouve l'information (formulaire papier, clé USB, disque dur, caméra, etc.). publique ou confidentielle peu importe le support
En revanche, une donnée n'est plus personnelle lorsqu'elle est , éliminant ainsi toute possibilité d'identifier la personne concernée. anonymisée
De même, une donnée n'est pas personnelle lorsqu'elle se rapporte à une (ex : une entreprise, une association). personne morale
L'adresse postale, le numéro de téléphone du standard ou une adresse mail générique (ex : « ») d'une entreprise ne sont pas des données personnelles. compagnie1[@]email.fr
Un traitement de données personnelles consiste en , quel que soit le procédé utilisé (ex : la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données). toute opération portant sur des données personnelles
Autrement dit, on parle de traitement de données dès que les données d'une personne sont utilisées d'une manière ou d'une autre et peu importe à qui appartiennent ces données (un , un , un , un , un , etc.). client fournisseur prestataire employé candidat à l'embauche
Un traitement de données personnelles n’est pas nécessairement informatisé, et doivent être protégés dans les mêmes conditions. les fichiers papier sont également concernés
Création d'un fichier clients ou fournisseurs (papier ou informatisé)
Consultation d’un tableau Excel contenant des données de ressources humaines (bulletins de paie, contrats de travail, CV et lettres de motivation...)
Prospection commerciale par courrier ou par e-mail
Livraison d'une commande
Conservation d’adresses IP
Enregistrement de vidéosurveillance dans un magasin
Destruction de documents papiers contenant des données personnelles.
D’une manière générale, , les services des ressources humaines sont amenés à effectuer un traitement de données des employés (gestion de la paie, recrutement, contrats de travail...) et sont donc . dès qu'une entreprise emploie du personnel systématiquement concernés par le RGPD
Pour être conforme au RGPD, le traitement de données doit obéir aux : principes suivants
Le traitement doit être : il doit être fondé sur l'une des 6 bases légales fixées par le RGPD notamment le consentement de la personne concernée, l'exécution d'un contrat ou le respect d'une obligation légale. licite
Le traitement doit être : la personne dont les données sont collectées doit être informée de la collecte et de sa finalité, ainsi que des droits dont elle dispose sur ses données (accès, rectification, portabilité, effacement...). transparent
Le traitement doit avoir une : le responsable du traitement doit définir l'objectif poursuivi par la collecte des données (ex : prospection, suivi de relations clients, ressources humaines). Les données ne doivent pas être traitées d’une manière incompatible avec cette finalité. finalité
Le traitement doit être : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. On parle de « ». Par exemple, une société n'a pas à collecter le numéro de téléphone de ses clients lorsqu'elle adresse uniquement de la prospection par mail. proportionnel et pertinent principe de minimisation
Le traitement doit être : la durée de conservation des informations doit être définie dès la mise en place du dispositif qui collecte ces données. Une fois l’objectif atteint, les informations collectées ne sont plus nécessaires et doivent donc être supprimées. temporaire
Le traitement doit être : toutes les mesures nécessaires pour garantir la sécurité, et notamment la confidentialité des données personnelles doivent être mises en place (ex : mots de passe, https, sauvegarde). Ces mesures de sécurité sont proportionnelles aux risques encourus (ex : vol ou perte de données). sécurisé
Sauf exceptions, tout traitement portant sur des données dites est . Il s'agit d'une qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques). sensibles interdit catégorie de données éminemment personnelles
Le représentant légal de l'entreprise (chef d'entreprise, gérant, président...) est désigné « ». Le responsable du traitement est la personne , il détermine ses finalités et ses moyens. responsable du traitement à l'initiative du traitement de données
Le plus souvent, le responsable de traitement a recours à un chargé de traiter les données pour le compte du responsable du traitement (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale). sous-traitant
Le responsable du traitement et son sous-traitant doivent respecter de en matière de protection des données personnelles. nombreuses obligations
Le responsable du traitement doit dont les données sont collectées. informer toute personne
Cette obligation s'applique que la collecte soit (ex : données recueillies auprès de la personne dans un formulaire) ou (ex : données récupérées auprès de partenaires commerciaux, de ou de sources accessibles au public). directe indirecte data brokers
L'information doit être délivrée (en cas de collecte directe) ou dans un délai raisonnable après avoir obtenu les données, sans dépasser (en cas de collecte indirecte). au moment de la collecte 1 mois
Le responsable du traitement doit transmettre les : informations suivantes
Identité et coordonnées du responsable du traitement
Coordonnées du délégué à la protection des données (DPO), le cas échéant
Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées
Base légale justifiant le traitement : il peut s'agir du consentement de la personne, du respect d'une obligation prévue par un texte de loi, de l'exécution d'un contrat, etc.
Caractère obligatoire ou facultatif de la fourniture de données personnelles : les conséquences pour la personne en cas de non-fourniture des données
Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)
Durée de conservation des données personnelles
Droits de la personne sur ses données : droit de refuser la collecte, droit d'accéder, de rectifier et d'effacer ses données
Droit de la personne d'introduire une réclamation auprès de la Cnil
Source d’où proviennent les données personnelles, en cas de collecte indirecte
Existence d'un transfert des données personnelles vers un pays hors de l', le cas échéant. Union européenne
Les informations doivent être transmises de façon , en des termes clairs et simples. Autrement dit, l’information doit être présentée de manière efficace et succincte pour parmi d’autres contenus informatifs. concise, transparente, compréhensible et facilement accessible ne pas être noyée
Une entreprise ne respecte pas l'exigence d’accessibilité de l’information lorsqu'elle multiplie les pages à consulter, les liens présents dans les différentes pages et la redondance des informations.
La forme de présentation doit sur lequel est communiquée l’information. Par exemple, pour éviter des mentions trop longues au niveau d’un formulaire en ligne, le responsable du traitement peut donner un premier niveau d'information en fin de formulaire et renvoyer vers une page dédiée sur son site internet. tenir compte du support
Le titre de la page doit être clair, par exemple : « », « » ou « ». Cette page fait partie des . politique de confidentialité page vie privée données personnelles mentions obligatoires sur un site internet
La Cnil met à disposition de nombreux , applicables selon la situation (ex : vente en ligne, prospection commerciale, vidéosurveillance sur le lieu de travail, accès aux locaux professionnels par badge). exemples de mentions d'information
Le fait de ne pas informer la personne auprès de laquelle sont recueillies des données est puni d'une de pour les entrepreneurs individuels et pour les sociétés. amende pénale 1 500 € 7 500 €
Le correspond à toute manifestation de volonté par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. consentement
Le plus souvent, le responsable du traitement doit de la personne avant de mettre en œuvre le traitement de ses données personnelles. recueillir le consentement
Le recueil du consentement est , à moins que le traitement soit justifié par (ex : contrat de travail, contrat de vente, de location). obligatoire l'exécution d'un contrat
De plus, le recueil de consentement est dans les cas suivants : toujours obligatoire
Collecte de . Il s'agit d'une catégorie de données éminemment personnelles qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques). données personnelles « sensibles »
Réutilisation des données pour . Par exemple, un magasin de sport organise un concours et collecte les données des participants pour pouvoir contacter le gagnant (finalité initiale). Si le magasin décide, par la suite, d'utiliser ces données pour constituer un fichier client (nouvelle finalité), il devra de nouveau recueillir le consentement des personnes. d'autres finalités
Utilisation de au fonctionnement du service (ex : ciblage publicitaire). La a constitué un dossier sur les . cookies non essentiels Cnil règles applicables à l’usage de cookies
Utilisation des données à des fins de par voie électronique (ex : newsletter, sms). L'obligation de consentement s'éteint si la personne prospectée est déjà cliente de l'entreprise et que la prospection concerne des produits ou services similaires. prospection commerciale
Pour être valable, le consentement obtenu doit remplir les : 4 conditions suivantes
Le consentement doit être : il ne doit être ni contraint ni influencé. La personne concernée doit avoir véritablement le choix d'accepter ou de refuser le traitement, sans avoir à subir de conséquences négatives en cas de refus (ex : inaccessibilité du site internet). La personne doit également avoir le droit de retirer son consentement à tout moment, et aussi facilement qu'elle l'a donné. libre
Le consentement doit être : avant de consentir, la personne concernée doit avoir reçu une information suffisante (identité du responsable du traitement, finalité du traitement, type de données collectées, droit de retirer le consentement et éventuel transfert des données hors UE) de manière à pouvoir décider en toute connaissance de cause. L'information doit être communiquée en des termes clairs et facilement compréhensibles. éclairé
Le consentement doit être : si le traitement comporte plusieurs finalités (ex : gestion de clientèle, enquête de satisfaction, opération de prospection), la personne concernée doit pouvoir donner son consentement de façon indépendante pour l’une ou l’autre de ces finalités. spécifique
Le consentement doit être : il doit être donné par un acte délibéré, sans aucune ambiguïté. Il peut être recueilli, par exemple, au moyen d'une déclaration écrite ou orale ou via le cochage d'une case par voie électronique (ex : « ». univoque J’accepte que mon adresse électronique soit réutilisée à des fins de prospection commerciale par courrier électronique
En revanche, l'utilisation de cases de consentement cochées par défaut est . De plus, le silence de la personne concernée (ex : la personne visite le site internet sans accepter ou refuser les cookies) . interdite ne vaut pas consentement
Le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement libre, éclairé, spécifique et univoque.
La personne concernée doit également avoir le à tout moment, et aussi facilement qu'elle l'a donné. Par exemple, lorsque le consentement est obtenu par voie électronique uniquement par un clic, une frappe ou en balayant l’écran, la personne concernée doit pouvoir retirer ce consentement de la même manière. droit de retirer son consentement
Le fait d'obliger la personne concernée à suivre un cheminement complexe via des liens vers des documents électroniques ou le fait de la contraindre à saisir un mot de passe ne respecte pas l'exigence de pouvoir retirer son consentement de manière aussi simple qu'on l'a donné.
Lorsqu'une personne concernée retire son consentement, le responsable du traitement doit cesser tous les traitements qui se fondent sur celui-ci. Toutefois, les opérations réalisées sur la base d'un consentement donné valablement avant le retrait restent valables.
Lorsque le recueil de consentement est obligatoire, le traitement de données personnelles obtenues de la personne concernée est puni pénalement de d'emprisonnement et d'amende pour les entrepreneurs individuels et pour les sociétés. sans le consentement 5 ans 300 000 € 1 500 000 €
Le responsable du traitement doit aux personnes dont les données sont collectées : droit d'accès, droit de rectification, droit d'effacement, droit à la portabilité des données ainsi que le droit d'opposition au traitement. garantir des droits
Le responsable du traitement doit permettre, à la personne qui en fait la demande, faisant l'objet d'un traitement. La personne concernée doit pouvoir exercer ce droit, par exemple, au moyen d'un formulaire en ligne, d'une messagerie ou d'un mail de contact. d'accéder à ses données
À cette occasion, le responsable doit lui fournir les : informations suivantes
Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées
Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)
Durée de conservation des données personnelles
Droits de la personne sur ses données : droit de refuser le traitement, droit de rectifier et d'effacer ses données
Droit de la personne d'introduire une réclamation auprès de la Cnil
Source d’où proviennent les données personnelles, en cas de collecte indirecte
Existence d'un transfert des données personnelles vers un pays hors de l', le cas échéant. Union européenne
La personne concernée doit pouvoir accéder aux informations sur lesquelles le responsable du traitement s’est fondé . Par exemple, les éléments qui auraient servi à un employeur pour ne pas lui accorder une promotion ou le score attribué par une banque et qui a conduit au rejet d'une demande de crédit. pour prendre une décision la concernant
Le responsable a à compter de la date de réception de la demande, y compris s'il ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès. 1 mois pour répondre
Les éléments doivent être communiqués et de manière . Les codes, sigles et abréviations utilisés doivent être expliqués (éventuellement par le biais d’un lexique). gratuitement facilement compréhensible
Le code « » peut signifier que la personne concernée est considérée comme un client VIP. Segmentation : A+
Le responsable du traitement peut à condition de motiver sa décision. Dans ce cas, il doit informer le demandeur des voies et délais de recours permettant de la contester. refuser la demande d’accès
Il peut également notamment en raison de leur nombre et de leur caractère répétitif ou systématique (ex : demande d’une copie intégrale d’un enregistrement toutes les semaines). ne pas répondre aux demandes manifestement abusives
Le responsable du traitement doit permettre, à la personne qui en fait la demande, de dans les meilleurs délais. La personne concernée doit pouvoir compléter ses données incomplètes, y compris en fournissant une déclaration complémentaire. rectifier ses données inexactes
Le responsable du traitement doit permettre, à la personne qui en fait la demande, d'obtenir dans les meilleurs délais. l'effacement de ses données
Ce « droit à l'oubli » n'est pas général, il s'applique : uniquement dans les cas suivants
Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière.
La personne concernée retire le consentement sur lequel est fondé le traitement, et ce traitement n'est pas justifié par l'exécution d'un contrat (ex : contrat de vente, de location, de travail).
La personne concernée s’oppose au traitement et il n’existe pas de motif légitime pour le traitement.
Les données personnelles ont fait l’objet d’un traitement illicite (ex : le consentement de la personne n'a pas été reucueilli alors qu'il était obligatoire)
Les données personnelles doivent être effacées pour respecter une obligation légale prévue par le droit de l’ ou par le droit de l’État membre auquel le responsable du traitement est soumis. UE
Le responsable du traitement doit permettre, à la personne qui en fait la demande, , dans un délai raisonnable (entre 1 et 3 mois selon la complexité de la demande). de recevoir ses données et de les réutiliser
Le droit à la portabilité s'applique aux données personnelles (ex : adresse mail, nom, âge) ainsi qu'à celles lorsqu'elle utilise un service ou un appareil (ex : achats enregistrés sur une carte de fidélité). déclarées par la personne générées par son activité
En revanche, les données personnelles qui sont à partir des données fournies par la personne concernée (ex : profilage à des fins publicitaires) ne rentrent pas dans le périmètre de ce droit. dérivées, calculées ou déduites
Par ailleurs, ce droit concerne uniquement les données traitées à l'aide de procédés automatisés, ce qui exclut les données conservées sous format papier.
Le responsable doit communiquer les données dans un . Lorsque c’est techniquement possible, la personne peut demander à ce que ses données soient directement transmises à un autre responsable de traitement. gratuitement format structuré, couramment utilisé et lisible par ordinateur
Ce droit n’entraîne pas la suppression des données du service depuis lequel elles sont portées. De plus, il peut s’exercer à tout moment, y compris si la personne veut continuer à utiliser le service après avoir exercé ce droit.
Le droit à la portabilité peut être exercé dans de nombreuses situations, par exemple :
Services de musique ou de vidéo à la demande (ex : listes de lecture, contenus téléchargés)
Réseaux sociaux (ex : liste des messages et des interactions)
Sites de e-commerce (ex : adresse, numéro de téléphone)
Ouverture et gestion d’un compte bancaire (ex : numéro de téléphone, liste de transactions réalisées)
Services de messagerie en ligne (ex : numéro de téléphone, adresse courriel de récupération)
La recommande fortement de mettre en place une procédure interne pour répondre aux demandes qui pourraient être reçues. Par exemple, prévoir une fonctionnalité permettant à la personne concernée de télécharger ses données dans un format standard lisible par un ordinateur (CSV, XML, JSON, etc.) directement depuis son compte/espace authentifié. Cnil
Le responsable du traitement peut à condition de motiver sa décision. Il peut également notamment en raison de leur nombre et de leur caractère répétitif ou systématique. refuser la demande de portabilité ne pas répondre aux demandes manifestement abusives
Le responsable du traitement doit permettre à la personne concernée de à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. s'opposer à la réutilisation de ses données
Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante.
Le droit d'opposition peut être exercé par la personne le traitement est justifié par un (ex : traitement mis en œuvre à des fins de prévention de la fraude ou visant à garantir la sécurité du réseau et des informations). seulement si intérêt légitime
Au contraire, si le traitement est justifié parce que la personne concernée a donné son consentement, celle-ci devra exercer son droit au retrait du consentement et pas son droit d'opposition.
Le registre des activités de traitement permet de et d'avoir d’une vue d’ensemble des utlisations de ces données personnelles. recenser les traitements de données
L’obligation de tenir un registre des traitements ne s'applique pas à toutes les entreprises, il est nécessaire de se référer à leur taille.
La tenue du registre est lorsque l'entreprise procède à : obligatoire l'un des traitements suivants
Traitement (ex : gestion de la paie, gestion des clients/prospects et des fournisseurs) non occasionnel
Traitement susceptible de comporter un (ex : systèmes de géolocalisation, de vidéosurveillance) risque pour les droits et libertés des personnes
Traitement portant sur des ou des données relatives à des . condamnations pénales
En cas de doute, la recommande d'’intégrer le traitement dans le registre. Cnil
Les doivent également tenir un registre de leurs activités impliquant le traitement de données. sous-traitants
Le registre doit mis en œuvre par l'entreprise. recenser l'ensemble des traitements
En pratique, une fiche de registre doit être établie pour chaque traitement. Chaque fiche de registre doit contenir les : éléments suivants
Identité du responsable de traitement, du délégué à la protection des données et des sous-traitants
Catégories de personnes concernées (ex : client, prospect, employé)
Catégories de données traitées (ex : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation)
Finalités du traitement, c'est-à-dire l’objectif en vue duquel ces données ont été collectées
Destinataires des données, c'est-à-dire ceux à qui les données ont été ou seront communiquées, y compris les sous-traitants
Durée de conservation des données, ou à défaut les critères permettant de la déterminer
Description générale des mesures de sécurité des données
Le cas échéant, transfert des données vers un pays hors de l'. UE
Le RGPD impose uniquement que . Le format du registre est libre et peut être constitué au format papier ou électronique. le registre se présente sous une forme écrite
La CNIL met à disposition des . modèles de registre de traitement
Toute entreprise doit qu'elle a collectées (données de clients, de fournisseurs, d'employés, etc.). Pour garantir un niveau de sécurité adapté au risque, de nombreuses sont nécessaires. assurer la sécurité des données personnelles mesures techniques et organisationnelles
La Cnil met à disposition un sur la sécurisation des données. guide pratique
Le responsable du traitement doit de données personnelles (automatisés ou non) sur lesquels ces traitements reposent, c'est-à-dire : recenser les traitements et les supports
les matériels (ex. : serveurs, ordinateurs portables, disques durs)
les logiciels (ex. : systèmes d’exploitation, logiciels métier)
les canaux de communication logiques ou physiques (ex. : fibre optique, Wi-Fi, Internet, échanges verbaux, coursiers)
les supports papier (ex. : documents imprimés, photocopies)
les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).
Ce recensement permet d' engendrés par chaque traitement, notamment : apprécier les risques
(ex : usurpation d’identité consécutive à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) Accès illégitime à des données
(ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) Modification non désirée de données
(ex : non-détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient). Disparition de données
Le responsable du traitement doit identifier les en prenant en compte des sources humaines (ex : administrateur informatique, utilisateur, attaquant externe, concurrent) et non humaines (ex : eau, épidémie, matériaux dangereux, virus informatique non ciblé). sources de risques
Il doit également (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale) pour ainsi à même de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation). estimer la gravité et la vraisemblance des risques déterminer les mesures
Le responsable du traitement doit les sur les enjeux en matière de sécurité et de vie privée. Pour ce faire, il peut organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les personnes selon leurs fonctions, faire des rappels par messagerie électronique, etc. sensibiliser utilisateurs
Le responsable doit les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données personnelles, qu’il s’agisse d’une opération d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer. documenter les procédures d’exploitation,
De plus, il doit , annexée au , comportant les informations suivantes : rédiger une charte informatique règlement intérieur
Règles de protection des données et sanctions encourues en cas de manquement
Champ d'application de la charte (ex : modalités d'intervention des équipes chargées de la gestion des données, moyens d'authentification, règles de sécurité)
Modalités d’utilisation des moyens informatiques mis à disposition (poste de travail, espace de stockage, accès à internet, messagerie électronique...)
Conditions d’administration du système d’information
Responsabilités et sanctions encourues en cas de non respect de la charte.
Il peut être judicieux de prévoir la signature d’un , ou de prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données personnelles. Un d'engagement de confidentialité est mis à disposition par la Cnil. engagement de confidentialité modèle
Modèle d'engagement de confidentialité sur les données
Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée « la Société »), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare
reconnaître la confidentialité desdites données.
Je m’engage par conséquent, conformément à l’article 32 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions
afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.
Je m’engage en particulier à :
ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;
ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;
prendre toutes les mesures conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
prendre toutes précautions conformes à l’état de l’art et aux règles internes pour préserver la sécurité physique et logique de ces données ;
m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.
Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée, après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation
et la communication de données à caractère personnel.
J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la règlementation en vigueur, notamment au regard des articles 226-13 et 226-16 à 226-24 du code pénal.
Fait à _____, le jj/mm/aaaa, en X exemplaires
Nom :
Signature :
Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un et doit avant toute utilisation des moyens informatiques. identifiant qui lui est propre s’authentifier
Une précaution indispensable consiste à et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, il est nécessaire de mettre œuvre les mesures suviantes : définir un identifiant unique par utilisateur
Exiger une validation de la hiérarchie
Mettre en œuvre des moyens pour tracer les actions associées à ces identifiants
Renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.
En cas d'authentification des utilisateurs basée sur des mots de passe, il est conseillé de suivre les . recommandations de la Cnil
Le responsable du traitement doit afin de limiter leur accès aux seules données dont ils ont besoin pour l’accomplissement de leurs missions. gérer l'habilitation des utilisateurs
Le responsable est d'abord amené à dans les systèmes en séparant les tâches et les domaines de responsabilité et par un responsable (ex : supérieur hiérarchique, chef de projet). définir des profils d’habilitation faire valider toute demande d’habilitation
Il est impératif de des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique (ex : changement de mission ou de poste), ainsi qu’à la fin de leur contrat. supprimer les permissions d’accès
Il est recommandé de (au moins une fois par an) pour identifier et supprimer les comptes non utilisés et réaligner les droits accordés sur les fonctions de chaque utilisateur. réaliser une revue régulière des habilitations
Le responsable du traitement doit également afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité). tracer les opérations
Pour ce faire, il est nécessaire de mettre en place , c’est-à-dire un enregistrement des activités métier des utilisateurs, des interventions techniques (y compris par les administrateurs), des anomalies et des événements liés à la sécurité. un système de journalisation
Le responsable du traitement doit s’assurer que les gestionnaires de l'enregistrement des opérations lui notifient toute anomalie ou tout incident de sécurité, dans les plus brefs délais.
L' met à disposition un pour établir un système de journalisation efficace et sécurisé. Anssi guide des bonnes pratiques
Les risques d’intrusion dans les systèmes informatiques sont importants. Le responsable du traitement doit qui constituent un des principaux points d’entrée. protéger les postes de travail
Afin de prévenir les accès frauduleux, l’exécution de virus ou les prises de contrôle malveillantes à distance, le responsable du traitement doit prendre les : précautions suivantes
Prévoir un mécanisme de en cas de non-utilisation du poste pendant un temps donné verrouillage automatique de session
Installer un (« firewall ») logiciel sur le poste et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail « pare-feu »
Utiliser des et prévoir une politique de antivirus régulièrement mis à jour mise à jour régulière des logiciels
Effacer de façon sécurisée les données présentes sur un poste à une autre personne. avant sa réaffectation
Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) détaille les sur un système d’information. bons réflexes à adopter en cas d’intrusion
Les pratiques de travail hors des locaux (ex : déplacements, télétravail) comportent des risques spécifiques liés à l’usage d’ordinateurs portables, de clés USB ou encore de smartphones. Il est donc indispensable d'anticiper l’atteinte à la sécurité des données . à l'extérieur des locaux
Le responsable du traitement doit aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (ex : vol de matériel, risques liés à la connexion aux réseaux publics) et à authentification forte. sensibiliser les utilisateurs imposer l'utilisation d'un VPN
Il est également recommandé de des postes nomades et des supports de stockage mobiles (ex : ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW), tels que : prévoir des moyens de chiffrement
Le chiffrement du disque dur (de nombreux systèmes d'exploitation intègrent une telle fonctionnalité)
Le chiffrement fichier par fichier
La création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés.
La CNIL rappelle les (chiffrement, hachage, signature). grands principes de la cryptologie
Le responsable du traitement doit pour limiter l’impact d’une disparition ou d'une altération non désirée de données. Il est également recommandé de stocker au moins une et d'isoler une , déconnectée du réseau de l'entreprise. effectuer des sauvegardes régulières sauvegarde sur un site extérieur sauvegarde hors ligne
Par ailleurs, le responsable doit mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de litige. archiver les données qui ne sont plus utilisées au quotidien
Pour ce faire, il doit définir un processus de gestion des archives qui appelent plusieurs questions, notamment :
Quelles données doivent être archivées ?
Comment et où sont-elles stockées ?
Quelles sont les modalités d’accès spécifiques aux données archivées ? (l’utilisation d’une archive doit intervenir de manière ponctuelle et exceptionnelle)
S’agissant de la destruction des archives, quel mode opératoire faut-il choisir pour garantir que l’intégralité d’une archive a été détruite ?
La CNIL a établi une concernant les modalités d'archivage électronique. liste de recommandations
Les traitements de données réalisés par un sous-traitant pour le compte du responsable de traitement doivent bénéficier de garanties suffisantes, notamment en matière de sécurité.
Il est impératif de faire appel uniquement à des , notamment en termes de connaissances spécialisées, de fiabilité et de ressources. Le responsable doit exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information et de ses éventuelles certifications. sous-traitants présentant des garanties suffisantes
Un contrat de sous-traitance doit définir l’objet, la durée, la finalité du traitement ainsi que les obligations des parties, notamment en termes de sécurité des traitements. Il doit contenir des dispositions fixant les éléments suivants :
Répartition des responsabilités et des obligations en matière de confiées confidentialité des données personnelles
des utilisateurs Contraintes minimales en matière d’authentification
en fin du contrat Conditions de restitution et de destruction des données
. Celles-ci doit comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité. Règles de gestion et de notification des incidents
La CNIL a publié un dans la mise en oeuvre concrète de leurs obligations. guide pour accompagner les sous-traitants
Les mesures permettant de garantir la sécurité des données étant nombreuses, il est opportun d' de l'entreprise. La CNIL met à disposition une . évaluer le niveau de sécurité des données personnelles grille d'évaluation
Les mesures techniques et organisationnelles mises en œuvre par le responsable de traitement doivent être , compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (dont le degré de probabilité et de gravité varie) pour les droits et libertés des personnes. appropriées
En cas de violation de données (ex : divulgation non autorisée, accès irrégulier), le responsable de traitement doit être qu'il a pris les mesures de sécurité adéquates. en mesure de prouver
Le responsable de traitement peut chargé de traiter les données personnelles pour son compte. recourir à un sous-traitant
Il peut s'agir d'un prestataire de service informatique (ex : hébergement, maintenance), d'une entreprise de sécurité informatique voire d'une agence de marketing ou de communication traitant les données personnelles pour le compte du responsable de traitement.
Pour encadrer leur relation, le responsable de traitement et son sous-traitant doivent conclure un . contrat de sous-traitance
Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant les : mentions obligatoires suivantes
Objet du contrat, c'est-à-dire l'activité du sous-traitant (ex : hébergement de données, routage d'emails, maintenance)
Nature, finalité et durée du traitement
Type de données personnelles collectées et catégories de personnes concernées
Obligations et droits du responsable du traitement
Obligations et droits du sous-traitant.
Pour faciliter la rédaction de ce contrat, les parties peuvent y insérer certaines rédigées par la Commission européenne. Elles fournissent un support utile pour encadrer la sous-traitance conformément aux exigences du RGPD. clauses contractuelles types (CCT)
Toute opération de traitement non prévue dans le contrat doit, en principe, faire l’objet d’une renégociation préalable entre les parties ou au moins d’instructions écrites du responsable de traitement.
Le sous-traitant doit respecter les : obligations suivantes
Assurer un niveau de sécurité suffisant au regard de la nature des données traitées
Conseiller le responsable de traitement (ex : l'alerter s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable)
Aider le responsable de traitement à garantir les droits des personnes (accès, rectification, effacement, portabilité)
Formaliser à l'écrit les instructions délivrées par le responsable de traitement
Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement
Tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits
Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité.
Registre tenu par le sous-traitant
Le sous-traitant doit , recensant toutes les catégories d'activité de traitement effectuées pour le compte de ses clients (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale). tenir son propre registre
En pratique, une fiche de registre doit être établie pour chacune de ces catégories d’activités. Chaque fiche de registre doit contenir les : éléments suivants
Identité du sous-traitant, de son représentant en cas d'établissement hors UE, de son délégué à la protection de données ainsi que les sous-traitants auxquels il a lui-même recours
Catégories de traitements effectués pour le compte de chacun de ses clients, c’est-à-dire les opérations effectivement réalisées pour leur compte. Par exemple, pour la catégorie « », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.) service d’envoi de messages de prospection
Description générale des mesures de sécurité des données
Le cas échéant, transfert des données vers un pays hors de l'. UE
La CNIL met à disposition un à destination des sous-traitants. guide pratique
Le sous-traitant doit du responsable de traitement avant de recruter un autre sous-traitant. Cette autorisation peut être donnée au sous-traitant pour chaque nouveau sous-traitant, ou avoir une . obtenir l'autorisation écrite au cas par cas portée générale
La CNIL recommande de préciser dans le contrat laquelle de ces 2 modalités d’autorisation est choisie par les parties.
Si l’autorisation a une portée générale, le sous-traitant doit communiquer au responsable de traitement de la , ainsi que tout ajout ou remplacement dans cette liste pour lui permettre de s'y opposer s’il le souhaite. Dans ce cas, la Cnil recommande de formaliser les modalités d’information du responsable de traitement et, éventuellement, les critères du choix de ces sous-traitants. liste de ses sous-traitants ultérieurs
Le sous-traitant doit tenir à jour, dans son registre, une liste des sous-traitants auxquels il recourt.
Les entreprises réalisant des traitement de données à grande échelle doivent désigner un , appelé le plus souvent « en anglais. Le DPO est chargé d' collectées et traitées par l'entreprise qui l'emploie. délégué à la protection des données data protection officer (DPO) » assurer la protection des données personnelles
La CNIL met à disposition un . guide pratique du DPO
La désignation d’un DPO par l'entreprise est dans : obligatoire les 2 cas suivants
Les activités principales de l'entreprise ou du sous-traitant impliquent un des personnes concernées par les opérations de traitement (ex : géolocalisation, vidéosurveillance, traitement des échanges bancaires). suivi régulier et systématique à grande échelle
Les activités principales de l'entreprise ou du sous-traitant impliquent un ou relatives à des condamnations pénales. traitement à grande échelle de
La notion de traitement « » s'analyse au cas par cas, en fonction du nombre de personnes concernées, du volume et de l'éventail des différentes données collectées, de la durée de l'activité de traitement et de la répartition géographique de l'activité de traitement. à grande échelle
Quelques exemples de traitements à grande échelle :
À l'inverse, des exemples de traitements qui ne sont pas considérés comme des traitements à grande échelle :
le traitement à des fins statistiques de données de localisation actuelles de clients d'une chaîne de restauration rapide internationale par un sous-traitant spécialisé dans ces services
le traitement de données de clients dans le cadre des activités courantes d'une compagnie d'assurance ou d'une banque
le traitement de données personnelles par un moteur de recherche en vue de l'affichage de publicités sur la base du comportement de navigation
le traitement de données personnelles (contenu, flux des données, localisation) par des fournisseurs de services de téléphonie et d'Internet.
le traitement de données de patients par un médecin indépendant
le traitement de données personnelles relatives à des condamnations par un avocat.
En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est . encouragée
Les missions du délégué à la protection des données sont les suivantes :
le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent Informer et conseiller
le respect du RGPD et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement Contrôler
, sur demande, sur un sujet précis en lien avec le traitement des données personnelles Dispenser des conseils et recommandations
et faire office de point de contact sur les questions relatives au traitement. Coopérer avec la
Le délégué à la protection des données est soumis à une en ce qui concerne l'exercice de ses missions. obligation de confidentialité
Le responsable de traitement peut désigner un DPO ou un proposant ses services de DPO. Il doit s’assurer que le DPO dispose de du droit et des pratiques en matière de protection des données. Il doit prendre en compte les formations suivies par la personne pressentie, ainsi que son et sa connaissance du secteur. en interne prestataire externe connaissances spécialisées expérience
La a mis en place une des compétences du DPO. La procédure n'est mais permet au DPO l'ayant suivie de justifier qu'il répond aux exigences de compétences. Les certifications sont délivrées par des organismes certificateurs agréés par la CNIL. Cnil procédure de certification pas obligatoire
Pour vérifier qu’un DPO est véritablement certifié, le responsable de traitement peut contacter l’organisme ayant attribué la certification. La CNIL publie une . liste des organismes de certification agréés
Lorsqu'il a choisi le DPO de l'entreprise, le responsable de traitement doit remplir le pour en informer la CNIL. formulaire de désignation en ligne
Le responsable du traitement doit permettre au DPO d’exercer ses missions de contrôle, de conseil et de point de contact . L'indépendance doit être garantie de la manière suivante : en toute indépendance
Le DPO ne doit pas être en situation de conflit d’intérêts en cas de cumul de sa fonction de DPO avec une autre fonction. Par exemple, il y a conflit d'intérêts lorsque le DPO se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.
Le DPO doit pouvoir rendre compte de son action au plus haut niveau de la direction de l'entreprise
Le DPO ne pas être sanctionné pour l'exercice de ses missions de DPO
Le DPO ne doit pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.
De plus, le DPO doit disposer du temps suffisant ainsi que des pour exercer sa mission. Il doit bénéficier du soutien actif de la direction et être impliquant des données personnelles. moyens matériels et humains adéquats associé en amont à tous les projets
Le DPO peut exercer sa fonction de délégué , en complément d’autres activités pour l’organisme (en interne) ou pour d’autres clients (en externe). à temps partiel
Une entreprise qui ne désigne pas DPO lorsque cette désignation est obligatoire s’expose aux : sanctions de la Cnil
Rappel à l’ordre
Injonction à se mettre en conformité
Amende administrative pouvant s’élever jusqu’à ou mondial de l’exercice précédent, le montant le plus élevé étant retenu. 10 millions d’euros 2 % du chiffre d’affaires annuel
Pour s’assurer de la conformité de son traitement au RGPD, l'entreprise peut être amenée à réaliser une . Cette procédure permet d’évaluer à la fois les risques encourus et la manière dont ils peuvent être maîtrisés. analyse d'impact relative à la protection des données (AIPD)
La réalisation d'une analyse d'impact est lorsque le traitement de données présente un des personnes concernées, c'est-à-dire : obligatoire risque élevé pour les droits et libertés
Soit le traitement figure dans la pour lesquels la CNIL a estimé obligatoire de réaliser une analyse d’impact. liste des traitements
Soit le traitement remplit au moins : 2 des critères suivants
évaluation/scoring (y compris le profilage)
décision automatique avec effet légal ou similaire
surveillance systématique
collecte de données sensibles
collecte de données personnelles à large échelle
croisement de données
personnes vulnérables (patients, personnes âgées, enfants, etc.)
usage innovant (utilisation d’une nouvelle technologie)
exclusion du bénéfice d’un droit/contrat.
Une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements.
Ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation). Ainsi, la réalisation d’une AIPD sera nécessaire.
L'AIPD doit être menée . Elle doit être démarrée le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement. avant la mise en œuvre du traitement
L'analyse d'impact doit contenir au minimum les : informations suivantes
systématique des envisagées et les du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement Description opérations de traitement finalités
et de la des opérations de traitement au regard des finalités Évaluation de la nécessité proportionnalité
sur les droits et libertés des personnes concernées Évaluation des risques
pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données personnelles et à apporter la preuve du respect du règlement. Mesures envisagées
La Cnil met à disposition des ainsi qu'un pour faciliter la réalisation d'une analyse d'impact. guides de bonnes pratiques logiciel gratuit
Le responsable du traitement doit ensuite au moyen du service en ligne suivant : transmettre l'analyse d'impact à la Cnil
Une entreprise qui ne réalise pas d'analyse d'impact s’expose aux : sanctions de la Cnil
Rappel à l’ordre
Injonction à se mettre en conformité
Amende administrative pouvant s’élever jusqu’à ou mondial de l’exercice précédent, le montant le plus élevé étant retenu. 10 millions d’euros 2 % du chiffre d’affaires annuel
Le transfert de données hors de l'UE consiste pour une entreprise à envoyer des données personnelles qu'elle a collectées . vers un pays non membre de l'
Le plus souvent, un transfert de données hors UE a lieu dans les : 2 cas suivants
(ex : un hébergeur de données établi aux États-Unis) L'entreprise a recours à un sous-traitant établi hors de l'UE
(ex : la filiale française envoie les données personnelles de ses salariés au siège du groupe situé au Japon). Les entreprises d'un même groupe échangent des données
Pour qu'un transfert de données hors de l'UE soit autorisé, le pays recevant les données doit faire l'objet d'une . décision d'adéquation
Il s'agit d'une décision adoptée par la Commission européenne qui établit qu’un pays tier présente un des données personnelles. La Commission évalue ce niveau de protection à partir d'éléments fixés par le RGPD (ex : la législation interne du pays, l’existence d’une autorité de contrôle indépendante en matière de protection des données et les engagements internationaux pris par le pays). niveau de protection adéquat
La décision d’adéquation a pour effet de permettre le transfert de données vers le pays concerné, . sans exigences supplémentaires
Le transfert de données est , par exemple, vers le Royaume-Uni, le Japon, l'Argentine, la Corée du Sud ou les États-Unis (vers les entités américaines certifiées). La est accessible sur le site de la CNIL. libre liste des pays adéquats
En l’absence de décision d'adéquation, le responsable de traitement doit mettre en place des « » avant de transférer les données hors de l'UE. Il peut s'agir des garanties suivantes : garanties appropriées
Conclure un contrat incluant des de la Commission européenne. Ces clauses fournissent un support utile pour encadrer le transfert hors UE, conformément aux exigences du RGPD. clauses contractuelles types (CCT)
Établir des ( en anglais). Pour les multinationales effectuant de nombreux transfert de données, ces règles désignent une politique de protection des données intra-groupe permettant d’unifier les garanties concernant les traitements de données personnelles offertes par leurs filiales dans le monde entier. règles d'entreprise contraignantes Binding Corporate Rules (BCR)
Adhérer à un . Le code est un outil mis en place par une organisation représentative d’un secteur d’activité. Il met en lumière les bonnes pratiques du secteur avec, par exemple, des mentions d’information type, des modèles de clauses contractuelles ou des préconisations en matière de mesures de sécurité, dans un vocabulaire adapté au secteur. Le code est juridiquement contraignant pour ses adhérents. code de conduite
S’il existe un risque que ces garanties ne soient pas effectives, l’exportateur de données doit mettre en place des mesures supplémentaires afin d’assurer l’effectivité des garanties.
En l’absence de décision d'adéquation ou de garanties appropriées, le transfert peut être réalisé , dans des situations particulières : par dérogation
La personne concernée a donné son au transfert envisagé, consentement explicite après avoir été informée des risques que ce transfert pouvait comporter pour elle
Le transfert est entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande nécessaire à l'exécution d'un contrat
Le transfert est entre le responsable du traitement et une autre personne physique ou morale nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée
Le transfert est nécessaire pour des motifs importants d'intérêt public
Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice
Le transfert est , lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes
Le transfert a lieu qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime. au départ d'un registre
Transfert hors UE lorsqu'aucune situation particulière n'est applicable
Lorsqu'aucune de ces situations n'est applicable, un transfert vers un pays tier est tout de même autorisé : si les conditions suivantes sont respectées
Le transfert n'a pas un caractère répétitif et ne touche qu'un nombre limité de personnes concernées
Le transfert est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée
Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données personnelles.