Articles récents Toute l'actualité du Cabinet BRJ Avocats

PME, BRJ vous simplifie le RGPD, et vous présente l’étape n°3 « Définir les ordres de priorité »

Actualités actualite

Nous vous avons présenté lors d’une précédente publication l’étape n°2 « Recenser les traitements de données à caractère personnel » (pour accéder à l’article, cliquez ici ).

Afin de vous conformer aux obligations du Règlement, il est ensuite utile d’identifier les actions à mener sur chaque traitement de données.

La première des actions à mener est de vous assurer que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.

  • MINIMISER LA COLLECTE ET LE TRAITEMENT DES DONNÉES

Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Vous devez donc identifier la proportionnalité entre les données personnelles et la finalité du traitement.

Pour ce faire, vous pouvez identifier en amont du traitement :

– le but pour lequel la donnée est collectée,

– la pertinence de la collecte,

– le temps nécessaire à l’atteinte du but.

Une fois cette première action menée, il conviendra de vous assurer que le traitement que vous envisagez d’effectuer est licite.

  • IDENTIFIER LE FONDEMENT JURIDIQUE DU TRAITEMENT

Le Règlement instaure en effet un principe de licéité du traitement.

Pour ce faire, il est important de déterminer :

– si vous avez obtenu le consentement de la personne au traitement de ses données pour une ou plusieurs finalités spécifiques, et/ou

– si le traitement est nécessaire à l’exécution d’un contrat, et/ou

– si le traitement est nécessaire au respect de l’une de vos obligations légales, et/ou

– si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Dès lors que vous vous êtes assuré de la licéité du traitement envisagé, l’étape suivante consiste à réviser vos mentions d’information afin qu’elles soient conformes aux exigences du Règlement.

  • RÉVISER VOS MENTIONS D’INFORMATION ET VOS CLAUSES

Le Règlement fait peser sur vous une obligation d’information et de transparence. A ce titre, vous devez notamment :

– communiquer les modalités d’exercice des droits de la personne concernée par le traitement des données (voir ci-après) en des termes clairs, précis et simples ;

– fournir des informations précises lorsque la collecte de données est effectuée auprès de la personne concernée, et notamment votre nom et vos coordonnées, la finalité du traitement le ou les destinataires des données à caractère personnel, la durée de conservation des données ainsi que l’existence du droit de demander l’accès, la rectification ou l’effacement des données ;

– lorsque la collecte n’est pas effectuée auprès de la personne concernée, vous devez fournirsur demande et dans un délai raisonnable, en plus des informations susmentionnées, les catégories de données à caractère personnel concernées ;

– informer préalablement la personne concernée en cas de traitement ultérieur de données à caractère personnel d’ores et déjà collectées.

Il est important que vous adaptiez vos mentions d’informationafin de répondre aux exigences du Règlement. A ce titre, vous pouvez rédiger des modèles types en prenant en compte les critères suivants :

-type et caractéristiques du traitement mis en œuvre,

– le nom et prénom du responsable de traitement,

– la ou les finalité(s) poursuivie(s),

– la destination des données,

– la durée de conservation,

– l’énumération des droits de la personne concernée.

La révision de vos mentions d’information et clauses contractuelles afin d’informer les personnes dont les données sont traitées des modalités d’exercice de leurs droits ne suffit pas, il est aussi important de réviser vos contrats conclus avec vos sous-traitants en rappelant expressément leurs obligations en matière de sécurité, de confidentialité et de protection des données traitées.

  • REVOIR LES RESPONSABILITES, LES MISSIONS ET LES CONTRATS DES SOUS-TRAITANTS 

Plusieurs acteurs peuvent intervenir dans la mise en œuvre des traitements de données personnelles et notamment le responsable du traitement et le sous-traitant. Il vous est fortement recommandé d’encadrer les relations existantes entre ces deux acteurs.

Pour mémoire, le « responsable de traitement » est défini comme la personne physique ou morale, l’autorité publique, le service ou autre organisme, qui seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

En pratique, le responsable de traitement est le chef d’entreprise.

Le « sous-traitant »  est défini par le Règlement comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

En pratique les sous-traitants peuvent être :

– les prestataires de services informatiques (hébergement, maintenance, …),

– les intégrateurs de logiciels,

– les sociétés de sécurité informatique,

– les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,

– les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients,

– les cabinets d’avocats et d’expertise comptable.

En tant que responsable du traitement, vous devez faire appel à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles conformes aux obligations du Règlement.

Il est par conséquent important de vous assurer que le sous-traitant choisi respecte un cahier des charges ou soit certifié.

Vos relations avec le sous-traitant doivent être contractualisées, sous forme écrite, y compris en format informatique. Le contrat doit définir :

– les obligations mises à la charge du sous-traitant,

– l’objet et la durée du traitement,

– la nature et la finalité du traitement,

– le type de données à caractère personnel et les catégories de personnes concernées,

– les obligations et les droits du responsable de traitement.

Le responsable du traitement et le sous-traitant sont coresponsables en cas de dommage matériel ou moral causé à une personne.

Toutefois, le Règlement aborde la question du partage des responsabilités entre le responsable du traitement et le sous-traitant :

– le responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement constituant une violation du Règlement,

– le sous-traitant n’est tenu pour responsable que s’il n’a pas respecté les obligations prévues par le Règlement incombant spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement.

Le responsable du traitement ou le sous-traitant peut s’exonérer de sa responsabilité s’il prouve que le fait ayant provoqué le dommage ne lui est pas imputable.

Afin de formaliser les relations entre les responsables de traitement et les sous-traitants, il vous est important :

– d’effectuer un audit des contrats en cours avec vos sous-traitants,

d’élaborer des modèles de clauses pouvant être insérer dans les contrats avec les sous-traitants ou des contrats types/avenants,

– d’élaborer un processus d’échange d’informations formalisé entre le responsable du traitement et le sous-traitant.

Des exemples de clauses pouvant être insérées dans les contrats des sous-traitants sont mises en lignes par la CNIL et accessibles via le lien suivant :

https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

 Une fois les contrats révisés, l’une des actions essentielles à mener est aussi de prévoir les modalités d’exercice des droits des personnes concernées par le traitement.

  • ASSURER L’EXERCICE DES DROITS DES PERSONNES CONCERNÉES PAR LE TRAITEMENT 

Pour chaque traitement de données à caractère personnel, le Règlement vous impose de respecter des obligations en vue d’assurer le respect des droits des personnes concernées par le traitement.

Comme exposé précédemment, vous devez, préalablement à tout traitement, informer la personne concernée. Les mineurs de moins de 16 ans seront mieux protégés. L’autorisation parentale sera nécessaire pour autoriser le traitement de leurs données.

Le Règlement consacre un chapitre entier aux droits de la personne et énonce les principes suivants :

– droit d’accès de la personne concernée : c’est-à-dire la confirmation que ses données font ou ne font pas l’objet d’un traitement ainsi qu’un accès aux données.

– droit de rectification : c’est-à-dire le droit d’obtenir, dans les meilleurs délais, larectification des informations inexactes et que les informations inexactes soient complétées.

– droit à l’effacement (« droit à l’oubli ») : obtenir l’effacement notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, la personne concernée retire son consentement, le traitement des données était illicite.

– droit à la limitation du traitement : une limitation doit être mise en œuvre notamment lorsque l’exactitude des données est contestée par la personne concernée, le traitement est illicite et la personne concernée s’oppose à l’effacement des données, le responsable du traitement n’a plus besoin des données, mais celles-ci sont encore nécessaires à la personne concernée pour l’exercice ou la défense de droits en justice.

– droit à la portabilité des données : permet à la personne concernée de récupérer les données fournies sous une forme aisément réutilisable afin de pouvoir éventuellement les transférer à un tiers.

– droit d’opposition : la personne concernée peut s’opposer au traitement des données par le responsable du traitement pour des raisons tenant à sa situation particulière. En tout état de cause, elle a un droit d’opposition à la prospection.

Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais, au plus tard dans un délai d’un mois, et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes.

Pour vous conformer au Règlement, il vous est recommandé :

– de mettre en œuvre des formulaires types permettant à la personne concernée de mettre en œuvre ses droits ;

– de désigner un responsable du traitement des demandes ;

– de mettre en place des modalités de traitement des demandes de la personne concernée.

Une fois que toutes ces actions sont effectuées, la dernière étape consiste à vérifier les mesures de sécurité mises en place.

  • CONTROLER LA SECURITE INFORMATIQUE 

Il vous est indispensable de réaliser un audit et de vérifier les mesures de sécurité mises en place pour la protection des données traitées.

  • Le respect d’un principe général de sécurité :

Vous devez avec votre sous-traitant mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures de sécurité peuvent être une pseudonymisation ou un chiffrement des données personnelles.

Afin de garantir la sécurité des données, vous pouvez mettre en place une procédure visant à analyser et évaluer les mesures de sécurité mises en place.

  • La gestion d’une défaillance dans la sécurité des données :

Le sous-traitant a l’obligation de notifier au responsable du traitement tout manquement à la confidentialité et toute atteinte à l’intégrité ou à la disponibilité des données.

1/La communication à l’autorité compétente:

En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à la CNIL, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

A défaut du respect du délai de 72 heures, le retard doit être motivé.

La notification doit comporter :

– la nature de la violation ;

– le nom et les coordonnées du Délégué à la Protection des Données ;

– les conséquences probables de la violation ;

– les mesures prises ou qui sont proposées pour remédier à la violation.

2/La communication à la personne concernée:

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais et dans des termes clairs et simples.

Il vous est donc fortement conseillé, pour faciliter le contrôle de la sécurité informatique dans votre entreprise, de :

– mettre en place et de formaliser une procédure de gestion des défaillances de sécurité,

– tenir un registre de la nature et des raisons des défaillances à la sécurité afin de pouvoir prévenir les prochains risques,

– élaborer des modèles types de notification à la CNIL et à la personne concernée.

Si vous voulez prendre les devants et obtenir des renseignements sur ce parcours et nos services, associés à ceux d’un expert en sécurité informatique, contactez-nous !

capture étape 3

Voici les trois étapes suivantes que nous vous présenterons lors de nos prochaines publications:

– l’étape n°4 « Gérer les risques»

– l’étape n°5 « Organiser les procédures»

– et l’étape n°6 «  Etablir une documentation de référence».

Si ce n’est déjà fait, abonnez-vous à notre newsletter (rendez-vous en bas de page).

Cet article a été rédigé par Me Fatoumata BROUARD.

Cet article vous a été utile ? Il le sera peut être aussi pour contacts, partagez-le !

Catégorie :

Lilia Ould Kaci