Identification, anticipation, réaction :

La gestion des violations de données

n’aura plus de secret pour vous !

 

En mars 2022, l’Assurance Maladie annonçait avoir été victime d’une cyberattaque ayant entraîné une violation des informations médicales de plus de 500 000 Français [1]. En novembre 2022, c’était au tour de la plateforme de musique en streaming « Deezer » de révéler la fuite des données de ses utilisateurs, qu’elle avait confiées à l’un de ses partenaires commerciaux[2].

Nous ne trahissons aucun secret en rappelant que les données personnelles ont désormais une valeur économique importante dans notre société numérique. Convoités par des hackers souhaitant revendre ces renseignements aux plus offrants, les organismes sont de plus en plus nombreux à révéler ces intrusions survenues dans leurs systèmes d’information.

Mais les piratages informatiques ne sont pas les seules hypothèses de violations de données, loin de là.

Comment prévenir, identifier ou réagir face à de telles violations de données ? RGPD-Experts vous livre tous ses secrets[3] !

 

Qu’est-ce qu’une violation de données ?

D’après l’article 4(12) du Règlement Général sur la Protection des Données (RGPD), il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé » à ces données.

Cette formulation recouvre en fait tous les incidents de sécurité ayant pour conséquence de compromettre :

A) L’intégrité des données personnelles (elles sont ou ont été modifiées par des personnes non autorisées)

ET/OU

B) Leur confidentialité (d’autres personnes que celles spécifiquement habilitées à en connaître ont pu y avoir accès)

Exemple: un collaborateur envoie par mégarde le dossier d’un patient à un autre, en se trompant d’adresse e-mail.

ET/OU

C) Leur disponibilité (elles n’ont plus été accessibles ou exploitables selon les formes et modalités prévues, temporairement ou définitivement).

 Exemple: impossibilité pour un client de consulter son compte personnel sur le site d’une entreprise.

Toute faille de sécurité ne constitue donc pas nécessairement une violation de données ! Tant que la vulnérabilité n’est pas exploitée ou ne compromet pas de données à caractère personnel, il ne s’agit nullement de violation.

Exemple: l’intervention du personnel d’entretien d’une société en dehors des heures d’ouverture des bureaux constitue bien une vulnérabilité pour les systèmes d’information de l’organisme, mais pas une violation de données si les données n’ont pas pu être compromises (notamment si elles n’ont pas pu être consultées, car stockées dans des armoires fermées à clé).

Quelles sont les obligations des organismes en la matière ?

Qui ? Tous les organismes sont tenus de mettre en place les mesures techniques et organisationnelles appropriées pour prévenir la survenance de violations de données.

En revanche, en cas de violation de donnée avérée, seuls les responsables de traitement doivent gérer cette situation. C’est à eux qu’il appartient de prendre les mesures nécessaires pour remédier à la violation, en atténuer les éventuelles conséquences négatives et éventuellement notifier la CNIL[4], les personnes concernées ou d’autres autorités si cela s’impose.

Cela ne signifie pas que les sous-traitants sont exempts de tous devoirs. En cas de violation de données, ils doivent impérativement en notifier le responsable de traitement dans les meilleurs délais après en avoir pris connaissance (1) et aider ce dernier à respecter ses propres devoirs (2), notamment en lui transmettant l’ensemble des informations dont il a connaissance. Pas question d’emporter avec lui des secrets dans la tombe !

Quoi ? En plus de tout mettre en œuvre pour éviter la survenance d’une violation de données, le responsable de traitement est tenu :

De tenir un registre des violations de données

Les textes encadrent d’ailleurs non seulement l’existence même de cette documentation, mais aussi son contenu. Certaines mentions doivent obligatoirement y apparaître (la nature de la violation, les catégories et le nombre approximatif de personnes concernées / fichiers concernées, les conséquences probables de la violation, les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation, etc.).

Vous ne pouvez pas gérer ces incidents dans le secret: tous doivent être renseignés dans ce registre.

 

De notifier éventuellement la violation…

(A) À la CNIL

Le responsable de traitement n’est tenu de notifier la violation de données à la CNIL que si celle-ci est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Autrement dit, il n’est pas obligé d’en informer l’autorité de contrôle si l’incident constitue une simple faille de sécurité et non une violation de données, si la violation ne concerne pas de données à caractère personnel (ex. : informations sur une personne morale), ou encore s’il ne fait courir aucun risque pour les droits et libertés des personnes concernées (ex. : la perte par un collaborateur de l’entreprise de son ordinateur professionnel, dont l’ouverture est protégée par un mot de passe « fort » et dont le disque dur est chiffré).

Cette notification de la CNIL doit intervenir dans les meilleurs délais, et au plus tard 72 heures à compter du moment où le responsable de traitement a connaissance de la violation de données, par le biais d’un téléservice sécurisé dédié disponible à l’adresse suivante : https://notifications.cnil.fr/notifications/index .

Là encore, la législation prévoit expressément les renseignements à transmettre à la Commission[5].

Au-delà de ce délai, le responsable de traitement devra, en plus de son signalement, justifier à la CNIL les motifs du retard de sa notification. Pas sûr que ces secrets lui plaisent !

ATTENTION – La CNIL aura alors un rôle d’accompagnement et d’encadrement (recommandations, vérification du registre interne des violations de données, vérification de la nécessité d’informer les personnes concernées voire injonction de le faire…), mais pas seulement ! La mission générale de contrôle dont elle est investie n’est jamais bien loin. Cette notification est susceptible de constituer le point de départ d’un contrôle global de votre conformité par la CNIL, au-delà de la seule violation de donnée.

D’où l’importance d’avoir étudié au préalable les circonstances dans lesquelles vous devriez notifier ou non la CNIL

Si vous l’en avisez alors que cela n’était pas nécessaire, vous risquez d’attirer inutilement l’attention de la Commission sur votre organisme. Celle-ci pourrait ensuite percer les secrets de certaines de vos pratiques inavouables en matière de protection des données à caractère personnel… Mais si vous ne le faites pas, alors que cela s’imposait, cela constitue une violation du RGPD, punissable tant sur le plan administratif que pénal [6].

Le sous-traitant qui ne notifierait pas cette violation au responsable de traitement encourt les mêmes peines.

(B) Aux personnes concernées

Le responsable de traitement n’est tenu de notifier la violation de données aux personnes concernées que si celle-ci est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Eux aussi ont le droit de savoir que leur jardin secret ne l’est plus tant !

Cette notification doit s’effectuer :

  • Dans les meilleurs délais après que le responsable de traitement en ait pris connaissance ;
  • Avec la transmission de certains renseignements expressément prévus par les textes ; En des termes clairs simples et précis ;
  • Selon le mode de communication de son choix. La législation n’impose pas les modalités de cette communication. Le responsable de traitement doit utiliser les coordonnées (postale, téléphonique, courriel) ou autres éléments dont il dispose (pseudonyme, numéro d’identification interne ou en ligne, « chat »…) pour joindre individuellement chaque personne concernée.

Par exception, le responsable de traitement n’est pas tenu d’informer les personnes concernées si :

 Il avait pris en amont ou après la violation de données des mesures garantissant que le risque élevé pour les droits et libertés des personnes ne se concrétisera pas.

Exemple : les données personnelles affectées sont incompréhensibles pour toute personne non autorisée à y avoir accès, notamment par la mise en place de codes secrets / mesure de chiffrement conforme à l’état de l’art et dont la clé n’a pas été compromise.

→ La communication exigerait des efforts disproportionnés pour le responsable de traitement

Exemple : le responsable du traitement ne dispose d’aucun élément permettant de contacter les personnes concernées.

ATTENTION : dans cette situation, le responsable de traitement devra informer les victimes par une communication publique, ou toute autre mesure aussi efficace.

(C) Aux autres autorités de régulation, si la législation le prévoit

Il convient donc de vous renseigner, selon la nature des activités menées par votre structure, si vous êtes tenu d’alerter d’autres autorités spécifiques que la CNIL de cette violation de données (l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour les « opérateurs d’importance vitale » ; les Agences Régionales de Santé (ARS) et du groupement d’intérêt public en charge du développement des systèmes d’information de santé partagés pour les établissements de santé, etc.).

En résumé 

Ce n’est pas un secret de polichinelle : plus vous anticiperez la survenance d’une violation de données, plus vous serez à même de gérer sereinement cette situation pourtant anxiogène !

Nous ne pouvons que vous inciter à mettre en place, dans votre organisme, une procédure permettant d’encadrer ces différentes étapes et s’inscrivant dans la documentation[7] de votre conformité. Les points à étudier sont nombreux, et comprennent notamment, sans que cette liste soit exhaustive :

1)      La mise en place de dispositifs de détection des incidents de sécurité ;

2)     La création d’un registre des incidents de sécurité ;

3)     L’instauration de mesures d’évaluation de la certitude et du niveau de gravité de ces incidents ;

·      Constituent-ils seulement une faille de sécurité ? Une violation de données ? Une violation ne présentant aucun risque / un risque / un risque élevé pour les droits et libertés des personnes concernées ?

·      La détermination de la liste des critères à prendre en compte pour évaluer au cas par cas la gravité du risque pour les droits et libertés des personnes concernées : type de violation, sensibilité des données personnelles visées, nombres de personnes concernées et facilité à les identifier, durée de la violation dans le temps, conséquences possibles de la violation à leur égard, mesures de sécurité préexistantes, etc.

4)     Les réflexes à adopter en cas de violation de données avérée. Compte tenu des délais courts dans lesquels vous êtes tenus d’agir, il est essentiel de prévoir par écrit :

·         Des instructions précises pour vos sous-traitants face à une telle situation, dans vos contrats de sous-traitance ;

·         Identifier le personnel compétent (en interne, mais aussi les acteurs externes susceptibles d’être impliqués) ;

·         Organiser le signalement interne de l’incident de sécurité ;

·         Mener les investigations nécessaires pour qualifier l’incident (cf. étape 2) et pour établir le contexte de la violation de données (circonstances, ampleur, gravité) ;

·         Documenter l’incident ;

·         Prévoir les réponses à apporter à l’incident de sécurité (mesures possibles de résolution de l’incident ; éventuelle notification de la violation de données à l’autorité de contrôle /aux personnes concernées / autres autorités de régulation préalablement identifiées ; signalement possible des forces de l’ordre /autorités judiciaires compétentes / assurance, etc.).

5)     Tirer les conséquences de l’incident de sécurité pour éviter qu’il ne se reproduise à l’avenir.

Le secret d’une bonne procédure réside dans son anticipation !

Tout ce qui aura été organisé en amont vous fera gagner un temps précieux en aval. Notre équipe de professionnels est à votre disposition pour vous accompagner dans cette démarche.

Mais surtout, dans notre souci de simplifier chaque jour un peu plus vos actions de conformité, RGPD-Experts a développé Register +, un logiciel de suivi de votre conformité facile d’utilisation et entièrement sécurisé. Cette solution vous permet de centraliser sur une seule et unique plateforme l’ensemble de votre documentation RGPD. Notre outil comprend évidemment un accompagnement à la constitution de votre registre des violations et failles de sécurité, mais pas que !

 

 

Nous vous invitons à vous rapprocher de notre équipe pour tester notre solution et en savoir plus sur ces fonctionnalités :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] https://www.cybermalveillance.gouv.fr/diagnostic/4008fd34-144b-4f88-8edf-8571c5da593e

[2] https://support.deezer.com/hc/fr/articles/7726141292317-Violation-de-Donn%C3%A9es-par-un-Tiers

[3] Ou presque ! Compte tenu des subtilités de cette problématique et pour des raisons matérielles, cet article constitue une présentation générale du cadre légal applicable aux hypothèses de violation de données, mais n’est nullement exhaustif.

[4] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[5]  Si le responsable de traitement n’a pas encore à sa disposition toutes ces informations, les textes l’autorisent à notifier l’autorité de contrôle au fur et à mesure de ses propres investigations, c’est-à-dire de façon échelonnée en fonction des éléments qu’il découvrirait encore après le délai de 72 heures.

[6] En dehors des sanctions prévues par le RGPD, le fait pour un responsable de traitement de ne pas procéder à la notification d’une violation de données est puni de 5 ans d’emprisonnement et 300 000 € d’amende, conformément à l’article 226-17-1 du Code pénal.

[7] Conformément au principe d’ « accountability » prévu à l’article 5(2) du RGPD, le responsable de traitement est tenu non seulement de respecter la législation en vigueur en matière de protection des données, mais aussi d’être capable de démontrer à tout moment et par tout moyen sa conformité.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

L’organisme de crédit interdit de collecter des données via les demandes d’accès et les registres civils.

 

Il y a deux ans, Noyb a déposé une plainte GDPR contre le courtier en données de crédit KSV 1870. L’agence autrichienne d’évaluation du crédit stockait des données non sollicitées de personnes jusqu’alors inconnues qui exerçaient leur droit légal d’accéder à leurs données. Aujourd’hui, l’autorité autrichienne de protection des données (DSB) a publié sa décision sur cette affaire : l’agence d’évaluation du crédit ne peut pas collecter de données par le biais de demandes d’accès à des registres d’état civil.

Décision de l’ORD autrichien.

L’agence d’évaluation du crédit stocke des données provenant de demandes d’information. Les Européens ont le droit de soumettre une demande d’information aux entreprises pour savoir quelles données sont traitées à leur sujet. Pour confirmer l’identité de la personne, une entreprise demande souvent des données supplémentaires : une pièce d’identité, un nom, une adresse ou une date de naissance, par exemple. Naturellement, les entreprises ne peuvent utiliser ces informations supplémentaires que dans le but de répondre à une demande d’accès et doivent ensuite les supprimer à nouveau. Ce n’est pas le cas du leader du secteur des agences d’évaluation du crédit autrichiennes : KSV 1870 stocke des informations sur les personnes lorsqu’elles demandent l’accès à leurs données.

Approche systématique de la KSV. L’approche du KSV est systématique – nous avons reçu de nombreux cas similaires. Une personne concernée avait déposé une demande d’accès au titre de l’article 15 du GDPR auprès du KSV. L’agence de crédit a répondu qu’aucune donnée personnelle de la personne concernée n’avait été traitée. Du moins jusqu’à présent. Le KSV a fait valoir que les informations supplémentaires fournies par la personne concernée afin de faire valoir son droit d’accès seraient désormais stockées dans la « base de données commerciale ». Mais ce n’est pas tout : avant cela, les informations de la personne concernée provenant de la demande d’accès étaient comparées à ses données dans le registre central des résidents et ajoutées à la base de données des entreprises.

« L’ORD nous a donné raison : Le modèle commercial de KSV 1870, qui consiste à utiliser les demandes d’information des personnes concernées pour enrichir sa base de données économiques, est illégal. Le traitement de toute information supplémentaire provenant du registre civil est également clairement illégal. Nous supposons que, outre la personne que nous représentons, d’innombrables autres Autrichiens sont concernés. Ceux-ci peuvent exiger de la KSV la suppression des données traitées illégalement. » – Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu

DPA et Noyb sont d’accord : KSV agit de manière illégale. Les actions de KSV violent le principe de limitation de la finalité selon l’article 5, paragraphe 1, point b), du RGPD. Ce principe stipule que les données doivent être collectées dans un but précis. Un traitement ultérieur pour une autre finalité n’est autorisé que s’il est compatible avec la finalité initiale. Le DPD a estimé qu’il n’y avait aucune raison apparente de traiter les données de la demande d’accès aux notations de crédit, et qu’il n’y avait pas non plus de mandat légal pour la collecte générale des données. En outre, le DPD a ordonné la suppression des données obtenues illégalement.

la Noyb surveille de près les négociants en données. Les industries dont l’activité principale est le commerce de données doivent être tenues à des normes particulièrement strictes en matière de protection des données. Le problème est que les agences d’évaluation du crédit ne sont guère réglementées : si elles ne sont autorisées à traiter que les données pertinentes pour la solvabilité, il n’existe aucune définition des informations spécifiques que cela inclut. Comme les agences d’évaluation du crédit ont accès à un grand nombre de données, elles doivent les traiter de manière particulièrement responsable.

 

Directive « Police-Justice » : quelles sont les articulations avec le RGPD

 

La loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le « paquet européen de protection des données à caractère personnel », composé du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et de la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ». La directive « Police-Justice » a ainsi été transposée en France au sein du chapitre XIII de la loi Informatique et Libertés.

Quel champ d’application de la directive « Police-Justice » ?

La directive « Police-Justice » établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

Pour entrer dans le champ d’application de la directive « Police-Justice », un traitement de données doit donc répondre à deux conditions cumulatives.
D’une part, il doit poursuivre l’une des finalités mentionnées à l’article 1er. La directive « Police-Justice » a ainsi largement vocation à s’appliquer en « matière pénale » et, en particulier, aux activités menées par la police par exemple dans le cadre de la prévention et de la constatation de certaines infractions à l’occasion des déplacements des passagers ou encore aux traitements permettant la gestion des mesures d’application des peines prononcées par l’autorité judiciaire.

Les dispositions de cette directive peuvent également avoir vocation à encadrer les traitements mis en œuvre dans le cadre d’activités qui ne relèvent pas spécifiquement de la sphère pénale mais qui se rapportent à des activités de police effectuées en amont de la commission d’une infraction pénale. Peuvent ainsi relever des finalités encadrées par la directive « Police-Justice », les activités préventives de police aux fins de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une qualification pénale et les traitements mis en œuvre pour ces finalités.
D’autre part, le traitement, quelle que soit sa finalité, n’entre dans le champ de la directive « police justice » que s’il est mis en œuvre par une « autorité compétente ».

Un champ d’application distinct du RGPD

Le RGPD et la directive « Police-Justice » composent tous deux le « paquet européen relatif à la protection des données à caractère personnel ». Ils présentent des champs d’application distincts qui se veulent complémentaires.

Le RGPD a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel dans les Etats membres, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit de l’Union européenne, telles que les activités de sûreté de l’Etat ou de défense nationale, et ceux mis en œuvre aux fins de la directive « Police-Justice ».

Un champ d’application excluant les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale

Les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale ne relèvent pas du champ d’application de l’Union européenne et restent régis par les dispositions de la seule loi « Informatique et Libertés ».

Quelles obligations pour les responsables de traitement agissant dans le cadre de la directive « Police-Justice » ?

Différentes obligations incombent au responsable de traitement, sachant que lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont considérés comme étant responsables conjoints du traitement.

Certaines obligations prévues par la directive sont identiques à celles prévues par le RGPD :

  • mettre en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement soit conforme à la directive (article 19)
  • mettre en œuvre une protection des données dès la conception et par défaut : privacy by design and by default (article 20)
  • faire appel à des sous-traitants qui présentent des garanties suffisantes et qui ne pourront agir que sur instruction du responsable du traitement (article 22)
  • tenir un registre des activités de traitement (article 24)
  • mettre en œuvre des mesures de journalisation (article 25)
  • coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions (article 26)
  • réaliser une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 27)
  • consulter préalablement l’autorité de contrôle  dans les cas énumérés à l’article 28 de la directive
  • mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, en particulier pour les données dites sensibles (article 29)
  • notifier à l’autorité de contrôle les violations de données à caractère personnel dans les meilleurs délais, et si possible au plus tard dans un délai de 72h après en avoir pris connaissance, en cas de risques pour les droits et libertés d’une personne physique (article 30)
  • communiquer à la personne concernée la violation de ses données à caractère personnel lorsqu’il y a un risque élevé pour les droits et libertés de celle-ci (article 31)
  • désigner un délégué à la protection des données dans les conditions prévues à l’article 32 de la directive
  • respecter les conditions définies pour le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales (articles 35 et suivants)

D’autres obligations sont spécifiques à la directive « Police-Justice » :

  • établir, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, comme par exemple les personnes reconnues coupables d’une infraction pénale, les personnes victimes d’une infraction pénale, les tiers à une infraction pénale etc. (article 6)
  • distinguer entre les données à caractère personnel (données fondées sur des faits/données fondées sur des appréciations personnelles) et vérifier la qualité des données (article 7)
  • le traitement doit être licite, c’est-à-dire nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités prévues aux fins de la présente directive, et fondé sur le droit de l’Union ou le droit d’un Etat membre (article 8)
  • le traitement portant sur des données sensibles ne peut être autorisé qu’en cas de nécessité absolue (article 10)

Quels droits pour les personnes concernées ?

En raison de la spécificité du champ d’application de la directive « Police-Justice », des droits présents dans le RGPD ne se retrouvent pas dans la directive ou peuvent être assortis de limitations.

https://eur-lex.europa.eu/legal-content/EN/TXT/?toc=OJ%3AL%3A2016%3A119%3ATOC&uri=uriserv%3AOJ.L_.2016.119.01.0089.01.FRA

A.R

Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne

 

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
Les modèles de clauses contractuelles ont été mis à jour par la Commission européenne le 4 juin 2021.

À compter du 27 décembre 2022, les anciennes clauses contractuelles types de la Commission ne peuvent plus être utilisées.
La Cour de justice de l’Union européenne , dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types peuvent toujours être utilisées pour transférer des données vers un pays tiers . Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.

Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement ne permet pas d’assurer un niveau de protection essentiellement équivalent voir en particulier le considérant 145 de l’arrêt de la Cour, la clause 4 de la décision 2010/87/UE de la Commission, la clause 5 de la décision 2001/497/CE de la Commission et l’annexe II.

La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Dans tous les cas de transferts , si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d’éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.

Où puis-je trouver les clauses contractuelles types de la Commission européenne ?

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr

Les nouvelles clauses contractuelles types remplacent les précédentes datant de 2001 et 2004. Une période de transition de trois mois à partir de l’entrée en vigueur des nouvelles clauses contractuelles types a été prévue .
Pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données ont pu continuer à invoquer les anciennes clauses contractuelles types, mais au-delà cette période tous ont dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.
À compter du 27 décembre 2022, les anciennes clauses contractuelles types ne peuvent plus être utilisées.

Qu’est-ce qui change avec les nouvelles clauses contractuelles types ?

Les nouvelles clauses contractuelles types, en plus de reprendre les principales protections des droits des personnes et clauses, apportent en outre plusieurs changements, pour tenir compte du RGPD et intégrer de nouveaux mécanismes.

Une structure par module.

Tout d’abord, les clauses contractuelles type combinent des clauses générales avec une approche par module pour répondre à divers scénarios de transfert.

Clauses multipartites ou « clauses d’amarrage »

Les nouvelles clauses contractuelles types permettent également à de nouvelles entités, quelles qu’elles soient, d’accéder aux clauses contractuelles types, et de devenir une nouvelle partie dans le contrat, comme sous-traitant ou responsable de traitement.
Elles permettent à plusieurs parties exportatrices de données de conclure un contrat et à de nouvelles parties d’y être ajoutées au fil du temps, au-delà des signataires initiaux.
Une nouvelle partie peut accéder au contrat seulement avec l’accord des autres parties du contrat.

Prise en compte de la législation du pays tiers de destination des transferts de données applicable à l’importateur

Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite « Schrems II » et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.

Effectuez les démarches nécessaires auprès de La CNIL.
Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.

A.R

Le CEPD met à jour le référentiel BCR « responsable de traitement »

 

Que sont les règles d’entreprise contraignantes ou BCR ?

Le RGPD s’applique dans l’Union européenne et protège également les personnes concernées dans l’UE si elles sont, par exemple, clientes d’entreprises situées à l’étranger. Les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires, et contiennent des engagements pris par les entités du groupe visant à établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD.

BCR-C : les nouvelles recommandations du CEPD

Lors de la séance plénière du 14 novembre 2022, le Comité européen de la protection des données a adopté des recommandations sur la demande d’approbation et sur les éléments et principes devant figurer dans les règles d’entreprise contraignantes du responsable de traitement . Les nouvelles recommandations consignent les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d’approbation de BCR depuis l’entrée en application du RGPD. Elles clarifient les exigences du référentiel, fournissent des orientations supplémentaires et visent à favoriser ainsi la compréhension des attentes des autorités par l’ensemble des entreprises candidates. De plus, ce document actualisé fait la distinction entre ce qui doit être contenu dans le dossier présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR.

Enfin, ces recommandations intègrent les exigences de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. Avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination. Le même travail d’actualisation du référentiel applicable aux BCR « sous-traitant » est en cours d’élaboration. Les recommandations adoptées le 14 novembre sont soumises à une consultation publique jusqu’au 10 janvier 2023.

Licenciement maladroit ou à bon droit d’un Délégué à la Protection des Données ?

Le Conseil d’État précise la notion d’indépendance du DPO [1]

 

Afin de lui permettre de mener à bien ses missions, le Règlement Général sur la Protection des Données (RGPD) octroie au Délégué à la Protection des Données un statut pour le moins singulier.

Ce texte communautaire est toutefois peu précis, voire contredit par les législations nationales des États membres de l’Union européenne (UE).

Dans une décision récente du 21 octobre 2022, le Conseil d’État est venu apporter quelques clarifications bienvenues[2]. De quoi remettre les organismes sur le droit chemin…

 

►QUOI ? Petit rappel des textes

D’après le Règlement Général sur la Protection des Données, les Délégués à la Protection des Données doivent « être en mesure d’exercer leurs fonctions et missions en toute indépendance » [Considérant 97].

Cette indépendance trouve d’abord un sens dès le début de la collaboration du DPO avec l’organisme. En effet, le choix de ce bras droit n’est pas totalement libre. Il doit être désigné en raison de son expertise juridique et technique en matière de protection des données à caractère personnel.

Quant à l’indépendance du DPO durant l’exécution et la rupture de sa collaboration avec son employeur, celle-ci est encadrée par l’article 38(3) du RGPD, qui prévoit que :

Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

►QUI ? L’indépendance du Délégué à la Protection des Données interne

Le Délégué à la Protection des Données peut être interne ou externe à l’entité qui le désigne, tant qu’il répond aux critères de compétences et qu’il n’existe aucune situation de conflits d’intérêts susceptible d’entraver ses actions.

Lorsque l’organisme souhaite faire appel à l’un de ses membres, il ne peut donc pas nommer une personne investie d’un poste à responsabilités. De par ses fonctions, celle-ci est en effet nécessairement amenée à déterminer les finalités et moyens des traitements de données, autrement dit à être responsable de traitements.

Comment un Délégué à la protection des données pourrait-il aller droit au but dans ses préconisations, si les recommandations qu’il lui revient de faire s’opposent à d’autres logiques commerciales, RH ou logistiques dont il serait lui-même aussi en charge ?

Dans une entreprise ou une collectivité, le Délégué à la Protection des Données interne ne peut donc être qu’un membre du personnel du responsable de traitement, c’est-à-dire lié à lui par un contrat de travail.

Or, en droit français, le contrat de travail se définit comme « le contrat par lequel une personne physique (le salarié) s’engage à exécuter un travail sous la subordination d’une personne physique ou morale (l’employeur), en échange d’une rémunération »[3].

 

Le pouvoir juridique reconnu à l’employeur sur son salarié, du fait de ce lien de subordination, n’est-il pas incompatible avec l’indépendance du DPO interne ?

Comment le DPO interne peut-il jouer son rôle non seulement de conseil, mais de contrôle et d’alerte, s’il doit se tenir droit comme un « i » vis-à-vis de sa hiérarchie ?

 

►POURQUOI ? La recherche d’un juste équilibre entre indépendance et subordination

Choisir un DPO interne présente plusieurs avantages : connaissance approfondie du fonctionnement de l’organisme, conscience des contraintes auxquelles la structure doit faire face en matière de protection des données, meilleure disponibilité et réactivité, etc.

Puisque le DPO interne ne peut recevoir « aucune instruction en ce qui concerne l’exercice de ses missions », sa hiérarchie ne devrait avoir un droit de regard sur lui que pour l’encadrement de ses conditions de travail, et non sur le contenu de son travail.

Exemple : son supérieur pourrait avoir son mot à dire sur son emploi du temps, notamment sur la validation de ses demandes de congés, tant que sa décision est sans rapport avec ses fonctions de DPO.

Cette relation hybride est d’autant plus compliquée lorsque le salarié n’exerce les fonctions de Délégué à la Protection des Données qu’à temps partiel. Dans une forme de schizophrénie professionnelle, l’employé est supposé être soumis à ce lien de subordination pour les missions qui ne découlent pas de son rôle de DPO, et censé pouvoir s’en extraire pour les activités qui en relèvent…

La législation ballote donc le statut de Délégué à la Protection des Données interne de gauche à droite entre indépendance et subordination…

►COMMENT ? Le cas particulier de la sanction du DPO

Pour mémoire, le Délégué à la Protection des Données « ne peut être relevé de ses fonctions ou pénalisé […] pour l’exercice de ses missions ».

Cette disposition garantit la liberté de parole du DPO. Il doit pouvoir s’opposer librement aux directives données par le responsable de traitement lorsque celles-ci sont susceptibles de compromettre la protection de données personnelles. Cet extrait du RGPD lui permet d’intervenir sans craindre de représailles – autrement dit d’agir comme son rôle, et non comme son supérieur, l’exige.

 

Pour autant, comme tout salarié, le DPO interne peut ne pas filer droit. Son comportement peut devenir source de difficultés dans l’entreprise…

L’indépendance du DPO définie par le RGPD est-elle synonyme d’immunité professionnelle ?

Zoom sur la jurisprudence communautaire

 

 

Dans un arrêt du 22 juin 2022, la Cour de Justice de l’Union européenne (CJUE) a précisé que l’interdiction de pénaliser un Délégué à la protection des données vise à préserver l’indépendance fonctionnelle de ce dernier[4]. En d’autres termes, ces sanctions sont interdites lorsqu’elles sont motivées par un fait tiré de l’exercice des missions de DPO.

Exemples : un retard dans l’avancement de carrière du DPO ayant déconseillé de mettre en place un traitement de données qui, après analyse d’impact sur la vie privée, présenterait des risques résiduels élevés pour les droits et libertés des personnes concernées ; le refus d’octroyer au DPO des avantages dont bénéficient d’autres salariés après qu’il ait alerté sa hiérarchie sur leur manque de sensibilisation sur les enjeux liés à la protection des données…

Mais la CJUE a précisé que ces dispositions n’ont « pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel ».

Puisque la présence d’un DPO vise à garantir l’effectivité de la législation applicable en matière de protection des données, la Cour estime qu’il reste tout à fait envisageable de sanctionner voire de licencier un Délégué à la Protection des Données qui ne possèderait plus les qualités professionnelles requises pour ce poste, ou qui n’effectueraient pas ses missions selon les prescriptions du RGPD.

 

► A qui de droit ? – Encore faut-il justifier que le défaut de compétences ou les fautes reprochées au Délégué à la protection des données ne résultent pas d’une carence du responsable de traitement lui-même.

En effet, celui-ci est tenu d’allouer à son salarié DPO toutes les ressources nécessaires pour exercer ses missions. Il doit lui avoir fourni le temps ainsi que les moyens financiers, humains et matériels suffisants pour accomplir sa prestation.

Cette obligation implique également d’accorder à l’employé DPO la possibilité d’entretenir régulièrement ses connaissances. D’après une étude menée par l’Agence pour la Formation professionnelle des Adultes (AFPA), 75% des Délégués à la Protection des Données interrogés expriment un besoin d’améliorer leur savoir et 44% d’entre eux considèrent devoir bénéficier d’une formation complète sur le sujet [5].

Amis DPO, vous êtes en droit de demander des formations !

Notre équipe d’experts, qualifiés par Bureau Veritas, vous propose chaque mois un enseignement et un partage d’expériences de 35 heures pour développer vos aptitudes.
RGPD-Experts vous accompagne également dans la préparation des épreuves de certification de vos compétences de DPO par Bureau Veritas, si tel est votre souhait.

Notre formation est certifiée Qualiopi, pour une prise en charge OPCO / FNE / Pôle Emploi.
Nous vous invitons à nous contacter via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

Zoom sur la jurisprudence nationale

 

 

Le 21 octobre dernier, le Conseil d’État est allé plus loin que la Cour de Justice de l’Union européenne.

Au-delà de l’hypothèse de la faute ou de l’insuffisance professionnelle, celui-ci a admis le licenciement d’un Délégué à la Protection des Données « à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés », tant que cette procédure n’est pas « incompatible avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ». Le statut de DPO ne lui confère donc aucun passe-droit.

En l’occurrence, il était reproché au salarié des carences dans l’exercice de ses fonctions (l’absence de production d’une feuille de route demandée, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et une absence de disponibilité délibérée), mais aussi la violation de règles internes à la société (affranchissement des chaînes hiérarchiques en s’adressant directement aux collaborateurs d’une équipe sans l’aval de son chef, ou prise de congés sans en avertir en temps utile ses supérieurs).

Il convient de rappeler que le Délégué à la Protection des Données n’est pas un salarié protégé au sens du droit du travail.[6]Son licenciement n’est ainsi régi par aucune procédure particulière. L’autorisation de l’Inspection du travail n’est donc pas nécessaire.

       * * *

La Cour de Justice de l’Union européenne a rappelé que chaque État membre est libre de prévoir des dispositions plus protectrices en matière de licenciement du Délégué à la Protection des Données.[7]

En Allemagne, un DPO ne peut être congédié qu’en cas de « motifs graves ». En Espagne, il doit avoir commis une faute intentionnelle ou une négligence grave dans l’exercice de ses fonctions.

A quand une harmonisation du statut du Délégué à la Protection des Données entre les pays européens ?

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

[1] Acronyme généralement retenu pour désigner le Délégué à la Protection des Données, de l’anglais « Data Protection Officer ».

[2] La décision n°459254 du Conseil d’État du 21 octobre 2022 est disponible dans son intégralité à l’adresse suivante : https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-10-21/459254 .

[3] Selon la formule habituelle retenue par la Cour de cassation.

[4] CJUE 22 juin 2022, Leistritz AG c. LH, aff. C-534/20, [ https://curia.europa.eu/juris/document/document.jsf?text=&docid=261462 ]

[5] « Evolution de la fonction de Délégué à la Protection des Données », Etude de 2022 menée par l’Agence pour la Formation Professionnelle des Adultes (AFPA) et disponible en ligne à l’adresse suivante : https://travail-emploi.gouv.fr/IMG/pdf/synthese_dpo.pdf .

[6] Selon la doctrine de la CNIL en la matière, confirmée par Monsieur le Sénateur Claude RAYNAL dans sa réponse ministérielle à la question écrite n°02896, publiée au JO Sénat le 25 janvier 2019.

[7] Revue de droit du travail 2022 (p.625), Fanny GABROY, « Le statut du délégué à la protection des données en droit du travail ».

 

Tik Tok avoue transférer vos données personnelles vers la Chine

Mais à part ça, TKT… [langage sms, abréviation de « ne t’inquiète pas »]

 

Un nouveau scandale anime le monde des réseaux sociaux, et plus particulièrement l’application de partage de vidéos phare des jeunes « Tik Tok ».

La plateforme avait déjà été condamnée le 22 juillet 2021 par l’autorité de contrôle des Pays-Bas, car aucune politique de protection des données n’était disponible sur son interface en néerlandais [1].

En septembre dernier, une enquête de l’association américaine de défense des consommateurs « Consumer Reports » a ensuite révélé que Tik Tok collectait non seulement les données personnelles de ses propres utilisateurs, mais aussi d’internautes ne recourant pas à ses services[2].

Les dernières déclarations de l’application fétiche des adolescents ont à nouveau fait un tollé…Encore de quoi nous mettre le seum ! [argot, locution verbale utilisée par les jeunes signifiant « être en colère, dégoûté »]

 

Pourquoi Tik Tok n’est décidément pas un enfant de chœur ?

Des soupçons pesaient depuis de nombreuses années concernant d’éventuels transferts par Tik Tok, des données personnelles de ses utilisateurs européens vers des pays situés en dehors de l’Union européenne, où leur protection ne peut pas toujours être garantie.

Dans une publication du 2 novembre 2022, Elaine Fox – responsable de la « protection de la vie privée » du réseau social en Europe – a confirmé ces doutes [3]. Elle y précise que les informations de ces « Tik Tokeurs » sont stockées aux États-Unis et à Singapour. Mais surtout, elle confirme que les salariés de la plateforme peuvent y accéder à distance, quel que soit leur lieu de travail.

« Sous réserve d’un besoin avéré pour effectuer leur travail, d’une série de contrôles de sécurité et de protocoles d’approbation robustes, et par le biais de méthodes reconnues dans le cadre du RGPD, nous autorisons certains employés de notre groupe situés au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis à accéder, à distance, aux données des utilisateurs de TikTok ».

– Elaine Fox, pour Tik Tok

Tik Tok continue donc de faire l’enfant…

Les inquiétudes se concentrent notamment sur le transfert de ces renseignements vers la Chine, où est localisé le siège social de ByteDance, la maison-mère de l’application. Cette entreprise est en effet membre de la « Fédération chinoise des Sociétés et de l’Internet », et est à ce titre supervisée par « l’administration chinoise du cyberespace », chargée notamment de la censure sur le Web[4].

Les données personnelles de millions d’internautes européens, pour la plupart mineurs, sont donc probablement à la disposition du gouvernement chinois. Les mêmes craintes s’appliquent à l’égard des États-Unis, dont la législation permet aux autorités nationales de contraindre les entreprises à leur communiquer de telles informations[5].

Les aveux tant attendus du réseau social n’ont donc pas pour autant été accueillis comme le fils prodigue…

Nous rappelons que les parents ont un rôle essentiel à jouer. Il leur appartient, à eux aussi, d’encadrer les pratiques numériques de leurs enfants. Cela suppose de les informer des risques liés à l’utilisation de Tik Tok – notamment à propos du transfert de leurs données personnelles à l’étranger, mais pas que…

Une révélation spontanée de Tik Tok ? MDR  [argot, abréviation de « mort de rire »]

 

Des questions demeurent encore sur les conditions dans lesquelles ces transferts s’effectuent, ainsi que sur la nature des données personnelles réellement transmises vers l’étranger. Tik Tok affirme que la mise à jour de sa politique de confidentialité reflète sa volonté d’être davantage transparent vis-à-vis de sa communauté concernant ses pratiques en matière de protection des données.

Cette volonté soudaine de transparence coïncide curieusement avec une enquête en cours, ouverte en septembre 2021 par l’équivalent irlandais de la CNIL[6], et portant précisément sur ce sujet des transferts de données vers la Chine[6]

L’application indique que l’exploitation de ces données depuis l’étranger est indispensable pour améliorer ses services. Sa mise en conformité nous apparait pourtant comme un jeu d’enfant : pourquoi Tik Tok ne s’organise-t-il pas pour stocker en Europe les données de ses utilisateurs européens ? Et pourquoi ne prend-il pas les mesures nécessaires pour permettre un contrôle de ces données par des employés soumis au Règlement Général sur la Protection des Données (RGPD) ?

Un transfert pourtant encadré OKLM par le RGPD [OKLM : argot, contraction de « au calme »]

Dans son communiqué, Tik Tok promet que l’accès à vos données depuis l’étranger s’effectue « par le biais de méthodes reconnues dans le cadre du RGPD ». Il s’abstient toutefois bien de préciser lesquelles…

Puisque Tik Tok a refilé le bébé à d’autres l’explication de ces « méthodes reconnues », RGPD-Experts a à cœur de vous présenter brièvement ces mesures.

 

Les articles 44 à 50 du RGPD encadrent strictement les transferts de données transfrontières.
Deux situations peuvent se présenter :

Situation n°1 : le pays de destination est « adéquat » (article 45 RGPD)

Si l’Etat destinataire figure sur la liste de ceux à l’égard desquels une décision d’adéquation a été adoptée par la Commission Européenne[8], vous pouvez transférer des données vers ces pays tiers sans avoir besoin d’accomplir d’autres formalités.

Situation n°2 : le pays de destination nest pas « adéquat » (article 46 RGPD)

Dans ce cas, vous êtes tenu d’assurer aux données communiquées un niveau de protection équivalent à celui assuré par les législations françaises et européennes.

Pour cela, vous devrez mettre en œuvre des garanties appropriées avant que ces informations personnelles ne soient transférées. Ces mesures peuvent consister en :

  • Des Clauses contractuelles Types;
  • Une certification;
  • Un code de conduite;
  • Des règles d’entreprises contraignantes;
  • Des dérogations spéciales (prévues à l’article 49 du RGPD).

 

Si votre organisme transfère les données personnelles de résidents européens vers des pays « tiers », nous vous conseillons donc d’être particulièrement vigilant sur les conditions dans lesquelles ces communications sont réalisées.

  • Vous n’aviez jamais entendu parler de ces garanties appropriées avant ?
  • Vous ne savez pas à quoi correspondent concrètement ces mesures ?

Nous vous recommandons vivement de vous faire accompagner par des professionnels en cas de doutes sur les modalités d’organisation de ces transferts. Il ne s’agit pas d’un caprice d’enfant gâté, mais bien de vous assurer que vous prenez convenablement en main vos responsabilités.

Notre équipe d’experts, à l’écoute des besoins et des contraintes de votre organisme, saura vous aider à gérer ces transferts de données transfrontières. RGPD-Experts ne laissera pas « [votre] fils [votre] bataille » dans le flou. Nous vous invitons pour cela à nous contacter via notre formulaire : contactez-nous.

L.H

 

 

[1] Si vous souhaitez en savoir plus à propos de cette condamnation, nous vous invitons à consulter notre article sur le sujet : https://www.rgpd-experts.com/mauvaise-tactique-de-tiktok/

[2] https://www.consumerreports.org/electronics-computers/privacy/tiktok-tracks-you-across-the-web-even-if-you-dont-use-app-a4383537813/

[3] https://newsroom.tiktok.com/fr-fr/mise-a-jour-politique-confidentialite

[4] https://www.lesechos.fr/2018/05/cette-nuit-en-asie-les-geants-du-web-chinois-main-dans-la-main-pour-defendre-les-valeurs-du-parti-990229

[5] Sur ce sujet, vous pouvez consulter notre précédent article à l’adresse suivante : https://www.rgpd-experts.com/cloud-act-danger-pour-les-donnees/

[6] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[7] https://www.lesnumeriques.com/vie-du-net/tiktok-dans-le-viseur-de-la-cnil-irlandaise-pour-le-transfert-en-chine-de-donnees-des-mineurs-n168455.html

[8] La CNIL met ici à disposition un tableau Excel énumérant ces Etats adéquats : https://www.cnil.fr/sites/default/files/atoms/files/niveau_de_protection-fr-jan2015.xls

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Testez votre degré de maturité !

 

Dans notre précédent article, vous avez testé votre degré de conformité, c’est-à-dire votre capacité à respecter vos obligations légales en matière de protection des données personnelles.

Si vous avez manqué ce premier quiz, tout se passe ici :https://www.rgpd-experts.com/les-incollables-rgpd-1

Mais la façon dont votre organisme exécute, contrôle, maintient et assure le suivi de sa « dynamique RGPD » est-elle optimale ? Vos mesures de conformité sont-elles pleinement intégrées dans le fonctionnement global de votre entité ?

Pour le savoir, estimez votre degré de maturité sur le sujet !

Inspiré de l’auto-évaluation publiée par la CNIL[1], ce second quiz est l’occasion de jauger où en est votre organisme dans ses efforts pour assurer la protection des données personnelles qu’il manipule.

La norme ISO/IEC 21827 définit 5 niveaux de maturité, listés par ordre croissant :

① Pratique informelle

② Pratique répétable et suivie

③ Processus défini

④ Processus contrôlé

⑤ Processus continuellement optimisé

 

Votre organisme n’a pas nécessairement besoin de répondre aux exigences du plus haut échelon de cette norme. Pour situer le niveau de maturité que votre organisme devrait idéalement atteindre, il convient d’étudier [2] :

– Les conséquences potentielles d’une éventuelle atteinte à vos systèmes d’information, en interne et en externe ;

– La sensibilité de votre patrimoine informationnel ;

– Votre degré d’exposition aux menaces ;

– L’importance des vulnérabilités auxquelles vos systèmes d’information sont exposés.

Alors ? Où en êtes-vous dans votre conformité ? Êtes-vous suffisamment mature ?
Question 1: Définition et mise en œuvre des procédures de protection des données

A) Certains documents relatifs à la protection des données ont été formalisés (charte d’utilisation des moyens informatiques, politique de protection des données, etc.)

B) L’organisme a adopté des politiques et protocoles et les a transmis à l’ensemble de ses salariés/membres. Ils sont appliqués.

C) Les politiques et protocoles adoptés et transmis aux salariés/membres de l’organisme sont appliqués. Grâce aux indicateurs de suivi instaurés, ces documents sont actualisés dès qu’une possible amélioration est mise en évidence.

D) Des salariés/membres de l’organisme, intéressés par le sujet, ont spontanément mis en œuvre quelques mesures pour protéger les données personnelles que nous manipulons.

Question 2: Gouvernance de la protection des données

A)  Certains salariés/membres de l’organisme semblent avoir des compétences sur le sujet, et acceptent de se charger des questions ou problèmes parfois rencontrés, en lien avec la protection des données.

B) L’organisme a désigné un Délégué à la Protection des Données, qui a constitué une équipe pour l’assister dans ses missions. À ce titre, chaque membre s’est vu attribuer une place et un rôle bien définis.

C) Un salarié/membre de l’organisme a été désigné comme référent en matière de protection des données.

D) Nous allouons au Délégué à la Protection des Données que nous avons désigné d’importants moyens pour améliorer sans cesse la conformité de notre organisme, en s’inspirant du plan d’action annuel qu’il a défini.

Question 3: Registre des activités de traitement

A) Nous tenons et actualisons un registre des activités de traitement, conformément aux exigences de l’article 30 du RGPD.

B) Je pense que nous pouvons identifier tous les traitements de données opérés par notre organisme.

C) Non seulement un registre des activités de traitement est tenu et actualisé selon les prescriptions légales, mais en plus nous l’utilisons comme outil de pilotage de nos actions de conformité. En effet, ce document unique est pratique, car il contient toutes les informations dont nous avons besoin pour établir notre plan d’action.

D) Il existe un ou plusieurs documents centralisés, qui retracent l’ensemble des traitements de données que notre organisme met en œuvre.

Question 4: Conformité juridique des traitements

A) L’organisme dispose d’une série de protocoles parfaitement appliqués et adaptés à chaque traitement / à chaque relation commerciale (information des personnes concernées, clauses contractuelles sur la protection des données, analyse d’impact relative à la protection des données, gestion des sous-traitants, charte informatique…). Ces documents sont sans cesse améliorés. Une veille juridique et technique est instaurée pour maintenir notre conformité.

B) Les personnes concernées sont correctement informées de la collecte et du traitement de leurs données personnelles. Notre organisme prévoit, dans chacun de ses contrats (tant les contrats de travail de ses salariés que les conventions conclues avec ses partenaires commerciaux), une clause dédiée à la protection des données.

C) Les personnes concernées sont informées de la collecte de leurs données personnelles et des caractéristiques de ces traitements de données, sur nos principaux canaux de communication (site internet, flyers).

D) En plus de l’information correcte des personnes concernées et l’inclusion de clauses spécifiques à la protection des données dans nos contrats, l’organisme encadre les opérations menées par ses sous-traitants et effectue des analyses d’impact relatives à la protection des données lorsque celles-ci s’imposent.

Question 5: Formation et sensibilisation

A) Nous organisons fréquemment des sessions de sensibilisation sur la protection des données personnelles, auxquelles les salariés/membres de l’organisme sont invités à participer.

B) De nombreux salariés/membres de l’organisme ont été formés sur le sujet. Notre organisme propose régulièrement des sessions de sensibilisation, notamment lorsque nous rencontrons une question précise concernant notre conformité.

C) Les salariés/membres de l’organisme sont entrainés à identifier et à transmettre les sujets touchant à la protection des données aux personnes compétentes.

D) Certains salariés/membres de l’organisme se sont particulièrement bien renseignés sur le sujet, par eux-mêmes.

Question 6: Traitement des demandes des personnes concernées

A) Une procédure de gestion des demandes d’exercice de droits a été définie et communiquée aux salariés/membres de l’organisme (formulaire de contact, courriers types de réponse, registre de suivi des requêtes, indicateurs relatifs à ces demandes…). Nous améliorons continuellement ce processus et ces outils.

B) L’organisme dispose de modèles types de réponses à envoyer aux auteurs d’une telle demande.

C) Nous répondons au cas par cas à ces requêtes, le sujet est trop complexe pour que cette question soit mieux organisée / standardisée.

D) Un point de contact est mis à disposition des personnes concernées. En plus de courriers types de réponse, nous avons défini une procédure de gestion de ces demandes d’exercice de droit, connue des salariés/membres de l’organisme.

Question 7: Gestion des risques de sécurité

A) Notre organisme n’a pas les moyens d’instaurer plus de mesures de sécurité que celles purement élémentaires (mise en veille automatique des postes de travail, code d’accès individuel, habilitations d’accès…).

B) Nous essayons de mettre en place les mesures de sécurité préconisées par la CNIL et l’ANSSI notamment.

C) Des analyses d’impact relatives à la protection des données [3] sont réalisées lorsque nous pensons qu’un de nos traitements est susceptible de générer des risques pour les personnes concernées. Dans tous les cas, un plan d’action adapté, destiné à limiter les risques induits par nos activités de traitement, est établi.

D) Au-delà des analyses d’impact relatives à la protection des données et des plans d’action visant à minimiser les risques liés à nos activités de traitement, ces études sont revues chaque année. Nous avons instauré une veille sur les vulnérabilités de nos systèmes d’information. Dès qu’une nouvelle menace est identifiée, des mesures correctrices sont adoptées.

Question 8: Gestion des violations de données

A) Ces incidents de sécurité sont gérés de façon centralisée, et des mesures correctrices sont toujours prises.

B) Notre organisme a défini une procédure de gestion des violations de données systématiquement appliquée. Les failles de sécurité sont consignées dans un registre dédié. Un plan d’action est édicté après chaque incident, pour éviter qu’il ne se reproduise.

C) Impossible de dresser une règle générale, notre réaction en cas de faille de sécurité ou violation de données n’est pas toujours la même. Nous procédons au cas par cas : parfois nous opérons un signalement, parfois nous prenons des mesures correctrices, parfois nous en informons la CNIL, cela dépend.

D) Au-delà de notre procédure de gestion des violations de données, du registre dédié à ces incidents de sécurité et des plans d’action consécutifs, nous essayons de tirer les leçons de ces événements. Un bilan de ces violations est régulièrement réalisé pour identifier les failles de nos systèmes d’information, et améliorer nos démarches de conformité et nos études des risques.

 

Vos résultats :

Vous avez une majorité de A

  Félicitations, votre conformité semble faire l’objet d’un processus continuellement optimisé. Vous analysez le suivi des mesures que vous avez mises en place, et entendez apprendre de vos erreurs. Vous souhaitez profiter des carences que votre organisme relève ponctuellement pour adapter de façon dynamique et standardisée vos actions de conformité à votre propre situation. Ne lâchez-rien de votre démarche d’amélioration continue !

Vous avez une majorité de B

Bravo ! Votre conformité s’inscrit dans un processus bien défini, voire même contrôlé. Vos pratiques en matière de protection des données sont formalisées et rationalisées. Votre organisme mobilise pour cela les moyens humains, matériels et financiers nécessaires.

Vous pouvez aller plus loin en instaurant des indicateurs destinés à mesurer l’application et l’efficacité de ces mesures de conformité. « C’est peut-être un détail pour vous, mais pour [nous] ça veut dire beaucoup » : ce calibrage vous permettra de corriger vos éventuels défauts, et ainsi renforcer encore davantage votre « dynamique RGPD ».

Vous avez une majorité de C

Votre degré de maturité correspond à celui d’une pratique dite « répétable et suivie ». En d’autres termes, si quelques mesures sont formalisées, la plupart d’entre elles résultent de l’action d’une ou plusieurs personnes compétentes en interne en matière de protection des données. Celles-ci planifient des actions éparses, non coordonnées.

Pour plus de cohérence et de performance, il est essentiel que vos actions impliquent le plus grand nombre. Pour cela, nous vous recommandons de mettre en place dans votre structure une véritable gouvernance de la protection des données, qui se doit d’être insufflée par les dirigeants de l’organisme. L’établissement d’un plan d’action, sollicitant la participation de l’ensemble des salariés/membres de l’entité, est à prévoir.

Vous avez une majorité de D

Votre conformité s’inscrit dans le cadre d’une pratique informelle. Seules les mesures de base en termes de protection des données personnelles sont adoptées, soit à l’initiative spontanée de quelques personnes sensibles au sujet, par obligations ponctuelles des dirigeants de l’entité. Il est primordial que votre organisme se renseigne davantage sur les obligations légales lui incombant en la matière, et intègre ces formalités dans son fonctionnement. Non seulement ces formalités représentent une véritable plus-value pour votre structure sur le marché[1], mais cela vous permettra aussi de contenir les risques d’une éventuelle enquête de la CNIL. Nous vous assurons que le sujet est intéressant, et que vous regretterez de ne pas avoir agi plus tôt en cas de condamnation par l’autorité compétente…

 

 

Si vous souhaitez que votre organisme atteigne un degré de maturité supérieur en matière de protection des données, notre équipe de professionnels vous propose des conseils adaptés à votre situation et un accompagnement personnalisé pour approfondir encore davantage vos démarches de conformité.

Nous vous invitons à prendre contact avec les services de RGPD-Experts via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

 

 

 

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles. Son guide d’auto-évaluation de maturité en gestion de la protection des données est accessible à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/autoevaluation_de_maturite_en_gestion_de_la_protection_des_donnees.pdf

[2] Si vous souhaitez réaliser un diagnostic rapide et succinct du niveau de maturité que votre organisme se devrait d’atteindre, nous vous invitons à prendre connaissance du guide publié à cet effet par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), disponible à l’adresse suivante : https://www.ssi.gouv.fr/uploads/2009/07/maturitessi-plaquette-2007-11-05_maj-20170309.pdf

[3] Si vous souhaitez en apprendre davantage concernant les analyses d’impact relatives à la protection des données (AIPD), nous vous invitons à prendre connaissance de notre précédent article sur ce point : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Testez votre degré de conformité !

 

Êtes-vous incollable sur les règles applicables en matière de protection des données à caractère personnel ? Votre organisme a-t-il adopté les bonnes pratiques pour respecter les exigences issues du Règlement Général sur la Protection des Données (RGPD) ?

Relevez le défi : testez l’étendue de vos connaissances et de celles de vos collaborateurs sur le sujet ! Grâce à ce quiz, RGPD-Experts vous propose de vérifier de façon simple et ludique si les actions entreprises par votre structure sont adéquates et suffisantes pour répondre à vos obligations légales

 

Question 1: Applicabilité de la législation à mon organisme

A) Je ne manipule que des informations manuscrites et non numériques, je ne suis pas concerné par ces lois.

B) Je suis concerné par l’application de ces règles, car j’ai plus de 11 salariés/membres.

C) Je m’efforce de respecter ces règles car je traite des données personnelles en interne (notamment sur les membres de mon personnel) et en externe (clients, fournisseurs, partenaires commerciaux).

D) Cette législation ne s’applique pas à mon égard, car je traite les données d’un autre organisme pour son compte.

Question 2: Sources d’inspiration de mon organisme

Pour décider des mesures prises afin d’assurer la protection des données personnelles, mon organisme se réfère… :

A) A des recommandations publiées dans des articles en ligne, sur des blogs d’ « experts/spécialistes ».

B) Aux seules dispositions du Règlement Général sur le Protection des Données (RGPD).

C) Uniquement aux préconisations et actions mises en place par notre Délégué à la protection des données ou un consultant recruté à cette fin.

D) Au RGPD, à la Loi « Informatique et Libertés » du 6 janvier 1978 dans sa version modifiée, mais aussi aux textes législatifs et réglementaires spécifiques à mon secteur d’activité.

Question 3: Recensement des traitements de données mis en œuvre par mon organisme

A) Je sais précisément quels types de traitement sont mis en œuvre par mon organisme pour poursuivre ses missions.

B) Je n’effectue aucun traitement de données personnelles. Je suis obligé de les collecter auprès de nos clients, mais je ne les exploite pas.

C) J’ai recensé et inscrit l’intégralité des traitements de données mis en œuvre par mon organisme au sein d’un registre dédié (registre des activités de traitement), que je mets régulièrement à jour.

D) J’ai une vague idée des traitements de données mis en œuvre par mon organisme, mais je viens de réaliser que je n’avais pas pris en compte les données personnelles traitées en interne dans le cadre de mes activités de ressources humaines.

Question 4: Délégué à la protection des données

A) J’ai désigné un Délégué à la protection des données, alors même que cela ne m’était pas imposé.

B) Je n’ai pas de Délégué à la protection de données, et ne sais pas si mon organisme est tenu d’en désigner un.

C) L’employeur n’est-il pas d’office lui-même Délégué à la protection des données ?

D) J’ai désigné un Délégué à la protection des données, car les textes imposent à mon organisme de le faire.

Question 5: Conscience des risques particuliers de l’activité de mon organisme pour la protection des données à caractère personnel

A)  Je ne traite pas de données sensibles ou que très rarement, il n’y a donc pas de risques.

B) Des analyses d’impact relatives à la protection des données ont été menées sur les opérations susceptibles d’engendrer des risques élevés pour les personnes concernées.

C) Je ne manipule que des données récoltées en interne, notamment concernant les employés/membres de mon organisme. Les risques sont donc limités.

D) Je ne sais pas quels critères prendre en compte pour savoir si l’activité de mon organise comporte des risques particuliers.

Question 6: Conformité du site Internet de mon organisme

A) Les mentions légales et la politique de protection des données du site reprennent toutes les informations obligatoires prévues par la loi

B) En plus des mentions légales imposées, le site intègre un outil permettant de gérer le consentement des internautes aux cookies non nécessaires, un accès à notre politique de protection des données et communique les coordonnées de notre Délégué à la protection des données/personne de référence à contacter par les personnes concernées.

C) Le site inclut des mentions légales et une politique de protection des données « types » trouvées sur Internet, et non adaptées à l’activité spécifique de mon organisme.

D) Ohlala, laissez-moi rectifier tout cela avant de répondre à la question !

Question 7: Transferts de données à caractère personnel à l’étranger

A) Mon organisme ne transmet aucune donnée personnelle vers des pays situés en dehors de l’Union Européenne (UE) et héberge ses données en France, ou dans un autre État membre de l’UE.

B)  part les services de “Google”, mon organisme n’utilise aucun service étranger. Je ne suis donc pas concerné par la question.

C) Mon organisme a une dimension internationale, mais les flux de données en dehors de l’Union Européenne ne font l’objet d’aucun encadrement particulier.

D) Mon organisme a une dimension internationale, mais les mesures nécessaires ont été prises pour s’assurer que la protection accordée à ces données ne soit pas compromise lors de leurs transferts vers des pays situés en dehors de l’UE.

Question 8: Gestion des relations de sous-traitance

A) Mon organisme ne confie à aucun prestataire le traitement des données personnelles dont il dispose.
(Ah bon ? Même pour la gestion de la paie des salariés ou la réalisation d’études de marché ?)

B) Mon organisme délègue autant que possible ses opérations de traitement de données personnelles à des tiers, afin de reporter sur eux toute responsabilité en cas de manquement au RGPD.

C) Mon organisme formalise systématiquement sa relation avec des sous-traitants, et inclut dans cet écrit des clauses spécifiques à la question de la protection des données personnelles.

D) Mon organisme évalue la conformité de ses potentiels sous-traitants avant de formaliser avec eux un quelconque partenariat, par un écrit encadrant strictement la manipulation de ces données. Mon entité suit scrupuleusement le bon déroulement des activités qu’elle leur a confiées.

Question 9: Mesures de sécurité 1/3 : sécurité logique

Les salariés/membres de l’organisme peuvent utiliser les outils informatiques de l’organisme…

A) Librement : un organisme ne peut pas avancer sans que ne règne une totale confiance entre ses membres.

B) A condition de s’authentifier avec des codes propres à chaque service.

C) A condition de s’authentifier avec leur code individuel, les droits de chacun étant limités conformément à la politique d’habilitation adoptée par l’entreprise et régulièrement révisée (notamment en cas de départ). Des dispositifs permettant d’assurer une traçabilité des connexions ont également été mis en place.

D) L’encadrement de l’utilisation du réseau et de l’intranet de l’organisme est difficile, car les données sont traitées par les salariés/membres de l’organisme depuis leur équipement informatique personnel.

Question 10: Mesures de sécurité 2/3 : sécurité physique

A) Les locaux ne sont accessibles qu’aux seules personnes spécialement habilitées à s’y rendre (grâce à des badges, des clés…)

B) L’accès aux locaux de l’organisme est libre.

C) Les locaux sont accessibles librement sur la journée, mais des systèmes de vidéo-surveillance et d’alarmes ont été installés.

D) L’accès aux locaux est contrôlé ou limité (agent de sécurité, badge, clés…) et les lieux de stockage de données personnelles sont sécurisés (postes de travail systématiquement verrouillés, armoires fermées à clés…).

Question 11 : Mesures de sécurité 3/3 : sécurité juridique

A) Mon organisme est blindé : politique d’habilitation limitant l’accès aux données, accords de confidentialité, charte informatique, politique de gestion des sous-traitants, de gestion des durées de conservation, procédure à suivre en cas de violation de données ou de contrôle de la CNIL, registres des activités de traitement / de gestion des demandes d’exercice de droit / des violations de données, politique de continuité et de reprise d’activité, etc. Pas sûr d’avoir tout compris, mais tout y est.

B) Un registre des activités de traitement a été créé et est régulièrement mis à jour par l’organisme.

C) L’essentiel, c’est que les bonnes pratiques soient adoptées sur le terrain. Les procédures ne valent rien, car elles ne garantissent pas que des mesures soient prises pour assurer concrètement la protection des données personnelles manipulées par l’organisme.

D) Au-delà des registres et documents imposés par les textes, mon organisme a adopté toutes les procédures utiles et adaptées à son activité.

Question 12: Durées de conservation

A quelle fréquence détruisez-vous les données personnelles manipulées par votre organisme ?

A) Quand nous n’en avons plus besoin.

B) Les durées de conservation sont adaptées selon la catégorie des données personnelles concernées, ainsi que selon les obligations légales pesant sur notre organisme et les recommandations de la CNIL en la matière.

C) Mon organisme applique un délai fixe de conservation compris entre 5 et 10 ans, et organise un archivage systématique des dossiers à l’échéance de cette période.

D) Vous avez raison, il serait temps de faire un tri ! La salle d’archives déborde…

Question 13: Sensibilisation des salariés/membres de l’organisme sur les enjeux liés à la protection des données à caractère personnel

A) Les salariés/membres de l’organisme ont signé divers actes contraignants (accords de confidentialité, charte informatique les informant des pratiques interdites et recommandées concernant l’usage des outils numériques mis à leur disposition et charte sur leur droit à la déconnexion), et ont suivi une/plusieurs formation(s) sur ce sujet.

B) Les salariés/membres de l’organisme ont été convoqués à une réunion d’information et une personne a été désignée en interne comme référent « Informatique et Libertés » pour répondre à leurs éventuelles questions.

C) Les salariés/membres de l’organisme reçoivent parfois des newsletters ou communications à ce sujet, et sont vivement incités à se renseigner par eux-mêmes pour approfondir leurs connaissances.

D) Les exigences imposées par le RGPD sont trop contraignantes, notre organisme a d’autres batailles à mener.

Question 14: Violation de données à caractère personnel et incidents de sécurité

A) Panique à bord ! Je ne saurais clairement pas comment réagir en cas de violation de données.

B) Mon organisme dispose de mécanismes d’alerte en cas de violation de données, et nous sommes prêts à aviser directement les personnes concernées en cas de problème.

C) Mon organisme dispose de mécanismes d’alerte en cas de violation de données et nous sommes prêts à réagir si un tel événement survient : une procédure de gestion de crise a été établie (mesures à adopter pour mettre fin à la violation, méthodologie d’analyse des risques pour les personnes concernées, évaluation de la nécessité de procéder ou non aux notifications parfois imposées par les textes, tenue d’un registre des violations de données, etc.).

D) Mon organisme ne traite pas de données sensibles. Même en cas de violation de données, les risques pour les personnes concernées seraient donc minimes

Question 15: Gestion des droits des personnes concernées

A) L’organisme informe les personnes concernées de la collecte de leurs données personnelles et des principales caractéristiques des opérations de traitement envisagées. Il a aussi mis en place une procédure destinée à gérer efficacement leurs demandes d’exercice de droits.

B) Le Délégué à la protection des données de l’organisme / référent en matière de protection des données se charge de ces questions, qui relèvent de sa seule responsabilité.

C) L’organisme répond aux demandes et questions des personnes dont il collecte les données personnelles, mais ne les informe pas spontanément sur les modalités de mise en œuvre de ces opérations de traitement de données.

D) L’organisme s’efforce d’informer immédiatement les personnes concernées sur ces opérations de traitement (au téléphone, lors de rencontres, sur des flyers), mais ce n’est pas toujours possible en pratique. Nous nous évertuons à répondre à leurs demandes, même si nous ne savons pas toujours quoi leur dire…

Résultats:

Vous avez un majorité de A.

Félicitations, votre organisme paraît avoir intégré le respect des règles en vigueur en matière de protection des données comme une composante à part entière de sa philosophie de travail. Vous semblez avoir saisi les principes essentiels instaurés par le RGPD et la loi « Informatique et Libertés », et paraissez volontaires de les adapter au mieux à votre activité spécifique. Attention toutefois à faire preuve de flexibilité et d’ingéniosité pour que ces impératifs ne soient pas perçus comme trop contraignants par vos salariés/membres. Vous risquerez de perdre leur adhésion à vos démarches…

 

Vous avez un majorité de B.

Bravo ! Vous avez mis en place de nombreuses actions et procédures pour vous conformer autant que possible à la législation applicable en matière de protection des données. Le sujet semble vous intéresser, et vous faites des efforts louables pour intégrer cette préoccupation à votre fonctionnement. Vous appliquez cependant mécaniquement certaines règles, sans en comprendre réellement ni le sens, ni les enjeux. Vos démarches, quelque peu confuses, méritent d’être approfondies et davantage adaptées à votre structure. N’hésitez pas à vous faire accompagner dans ce processus par des professionnels qualifiés !

Vous avez un majorité de C.

Votre organisme a envie d’intégrer à son fonctionnement les règles applicables en matière de protection des données, mais ne semble pas savoir par quel bout initier ses démarches. Nous vous recommandons, avant toute chose, de bien appréhender les principes essentiels insufflés par le RGPD et la loi « Informatique et Libertés ». Ce n’est qu’une fois avoir compris l’esprit de ces textes que vous pourrez mettre en place un plan d’action concret et cohérent, adapté à votre activité. Pourquoi ne pas former un ou plusieurs salariés/membres de votre organisme pour faire souffler ce vent nouveau dans votre entité ?

Vous avez un majorité de C.

Comme bien d’autres, vous considérez les obligations légales vous incombant en matière de protection des données comme un obstacle supplémentaire à la poursuite de vos activités. Or, votre conformité peut s’avérer être un véritable atout financier et concurrentiel[1]. Le RGPD autorise une certaine souplesse et, selon vos missions, n’impose pas nécessairement un changement radical de vos pratiques.

Nous vous invitons à vous renseigner davantage auprès de professionnels, à l’écoute de vos contraintes et de vos besoins, pour établir une stratégie de mise en conformité adaptée à votre entité. A défaut, un éventuel contrôle de la CNIL[2] pourrait définitivement compromettre votre activité…

 

Si ce quiz révèle des lacunes dans votre organisme ou si vous n’avez aucune idée de la réponse à l’une de ces questions, peut-être que votre conformité n’est finalement pas si optimale…

Que ce soit pour approfondir avec vous l’une des thématiques abordées par ce test ou pour vous assister de A à Z dans votre mise en conformité, notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.

Nous vous invitons à prendre contact avec les services de RGPD-Experts via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

 

[1] Sur cette problématique, nous vous invitons à lire notre précédent article sur « le véritable coût de la conformité », disponible à l’adresse suivante : https://www.rgpd-experts.com/le-cout-de-la-conformite/

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.