Notre offre protection des données personnelles

Audit

Etat des lieux RGPD : juridique et organisationnel
En quoi consiste un état des lieux RGPD ?L’état des lieux RGPD est un audit permettant d’évaluer le niveau de maturitéd’un organisme vis-à-vis de la législation sur la protection des donnéespersonnelles. L’objectif de cet audit est d’analyser l’organisation interne etla documentation impactant l…
Audit RGPD du système d’information
Qu’est qu’un audit RGPD du système d’information ?L’objectif de cet audit est de vérifier que les données personnelles sontcollectées et traitées informatiquement conformément aux dispositions du RGPD.La réalisation de l’audit RGPD du système d’information permet de releverl’existence de mesures…
Cartographie RGPD des traitements
En quoi consiste une cartographie des traitements ?La cartographie des traitements est une étape essentielle de la démarche de miseen conformité RGPD. Elle vise à recenser l’ensemble des traitements mis en œuvrepar les salariés et prestataires tierces. L’objectif est de recenser leslogiciels, le…
Audit RGPD du site internet
En quoi consiste un audit RGPD du site internet ?Le site internet est la vitrine d’une activité professionnelle, sa conformité auRGPD doit être irréprochable. La CNIL dispose à ce titre d’un pouvoir decontrôle à distance lui permettant de vérifier la conformité des mentionslégales, le processus …
Simulation d’un contrôle de la CNIL
Pourquoi simuler un contrôle CNIL ?La CNIL dispose d’un pouvoir de contrôle sur place lui permettant de vérifier laconformité RGPD d’un organisme. Les agents de la CNIL peuvent se déplacer dansles locaux de l’entreprise ou de l’administration publique pour collecter deséléments de preuve en fonc…
Analyse de risques AIPD / PIA
Qu’est qu’un PIA ?L’analyse d’impact sur la protection des données, appelée aussi PIA pour PrivacyImpact Assessment, est une analyse de risques basée sur la méthodologie EBIOS.Elle est obligatoire lorsque le traitement est “susceptible d’engendrer unrisque élevé pour les droits et libertés des p…

Conseil

DPO externalisé
Pourquoi externaliser la fonction de DPO ?Le délégué à la protection des données (DPO) assure la conformité RGPD del’organisme pour lequel il travaille. En fonction du contexte, la désignationd’un DPO peut être externalisée. Ce choix assure la disponibilité immédiate d’unDPO qualifié et formé et…
Assistance contrôle CNIL
Pourquoi se faire accompagner lors d’un contrôle CNIL ?La CNIL a un pouvoir de contrôle sur place, à distance et sur pièces. Elleintervient dans la majorité des cas sur signalement, de manière sectorielle ouen cas de divulgation des les médias d’une non conformité grave à laréglementation sur la…
Externalisation de la gestion des demandes RGPD
Pourquoi externaliser la gestion des demandes d’exercice de droits ?Les personnes concernées par un traitement de données personnelles disposent dedroits au titre du RGPD : accès, rectification, suppression… Afin de rendreapplicable cette disposition règlementaire il est nécessaire, d’une part de…
Assistance DPO
A quel besoin répond l’assistance DPO ?Dans le cadre du suivi et de la mise en conformité RGPD, le recours à desressources supplémentaires peut se révéler nécessaire. A ce titre, il peut êtreopportun d’apporter un appui au DPO, sur le long terme ou de manière plusponctuelle, sur la réalisation d…
Documentation de la conformité RGPD
Pourquoi documenter ses traitements de données personnelles ?L’accountability est une notion primordiale du RGPD. Elle nécessite de mettre enplace toute la documentation justifiant la conformité du traitement et lesactions mises en œuvre à cet effet. Pour chaque traitement identifié et mis en co…
Mise en place des processus RGPD
Pourquoi documenter les processus RGPD ?L’organisation de la conformité RGPD passe avant tout par la mise en place etl’application de processus métiers. Ces processus doivent être documentés et lespersonnes concernées informées de leur existence. L’objectif de cette documentation est d’identifie…

Sensibilisation

Sensibilisation RGPD des équipes opérationnelles
DescriptionLa sensibilisation RGPD des équipes est généralement organisée concomitamment àune démarche de mise en conformité RGPD. Les notions principales du RGPD sontexplicitées et mises en relation avec le contexte du Client. ObjectifsLa sensibilisation permet de présenter de manière concrète…
E-Learning RGPD
DescriptionA l’aide de supports vidéos, de résumés textuels et d’exercices pratiques, nousabordons dans notre e-learning l’essentiel du RGPD à destination du plus grandnombre. Afin d’être le plus explicite possible, chaque notion clef est mise encontexte et présentée de manière ludique. Objecti…
Sensibilisation RGPD de la direction
DescriptionLa sensibilisation RGPD de la direction est généralement organisée préalablementà une démarche de mise en conformité RGPD. Les notions principales du RGPD sontexplicitées et mises en relation avec le contexte du client. ObjectifsLa sensibilisation permet de présenter à la direction l…
Pour en savoir plus, vous pouvez nous envoyer un mail à bonjour@indatable.com et nous appeler au +33 6 52 75 77 90 !

Vous êtes actuellement indisponible ? Prenons un RDV téléphonique !

Le RGPD en quelques questions :

Qu'est-ce que la loi RGPD ?

Le Règlement général sur la protection des données (ou RGPD) est un texte européen encadrant l’activité de collecte et de traitement des données personnelles.

Quel est le rôle du RGPD ?

Le RGPD a pour ambition de permettre aux utilisateurs concernés par la collecte de leurs données personnelles un plus grand contrôle sur leurs données. Il s’agit également de sensibiliser les entreprises et les administrations aux enjeux du traitement des données personnelles et de sanctionner ceux ne respectant pas leurs engagements, ou les droits des utilisateurs concernés.

Le RGPD est-il obligatoire ?

Oui. Le RGPD est un texte juridique adopté par l’Union européenne ayant force obligatoire dès sa parution au Journal Officiel de l’Union européenne. Il est est opposable à toute personne physique ou morale concernée depuis son entrée en application en 2018.  L’ensemble des dispositions du RGPD ont également vocation à s’appliquer aux entreprises ayant collecté et traité des données personnelles avant 2016.

Quand s’applique le RGPD ?

Le RGPD est voué à s’appliquer dans toutes situations où des données personnelles d’une personne sont vouées à être collectées ou traitées par un organisme.

Qui est concerné par le RGPD ?

Toute structure effectuant une activité de traitement, sur le sol européen ou à destination des citoyens de l’Union. Il n’existe ainsi pas de différence notable pour le RGPD, entre la collecte par une entreprise privée ou un organe public. Dès lors que les données d’une personne physique sont en jeu, le RGPD va s’appliquer.

Qui est à l’origine du RGPD ?

Le RGPD est un règlement de l’Union européenne, ayant été proposé par la Commission européenne en 2012, délibéré par la Commission des libertés civiles, de la justice et des affaires  intérieures jusqu’en 2015 et négocié entre les représentants de la Commission européenne, du Conseil et du Parlement européen.

Qu’est ce qu’une donnée personnelle ?

Une donnée personnelle peut être définie comme toute information pouvant identifier, directement ou indirectement une personne physique. Contrairement à ce que l’on pourrait penser, une donnée personnelle au sens du RGPD ne se limite pas aux fichiers informatiques. Il peut tout aussi bien s’agir d'informations recueillies sous forme papier, tels que des fiches de payes par exemple.

Pourquoi encadrer la collecte des données personnelles ?

Assurer un traitement des données personnelles conforme au RGPD, c’est prendre en compte le respect de la vie privée des personnes. Il est impératif que le traitement de ces informations soit le plus respectueux des droits des personnes concernées et transparent possible. Une utilisation détournée des données à caractère personnel peut avoir des conséquences importantes sur la vie des personnes.

Quelles sont les données personnelles bénéficiant d’une protection particulière ?

Le RGPD consacre une protection particulière aux données dites “sensibles”. Ces données permettent par exemple de décerner les opinions politiques ou religieuses des personnes, leurs conditions de santé ou leur données biométriques ( ADN, empreintes digitales).

Comment connaître l’utilisation des données collectées par un site web ou une application ?

Les sites internets ainsi que les applications doivent publier une page dénommée “Politique de confidentialité” ou encore “Charte relative au respect de la vie privée”, permettant de connaître l’utilisation et les finalités de la collecte et du traitement des données.

Qu'est-ce qu’une finalité de traitement ?

La finalité d’un traitement est le but pour lequel ce traitement est effectué. Cette finalité se doit d’être légitime et suffisamment précise. Il est ainsi impossible de choisir une finalité trop vague ou trop générale, par exemple, “l’amélioration de notre service”, pour justifier la collecte des données.

Est-il obligatoire d’obtenir le consentement d’une personne pour collecter ses données ?

Non. Le consentement n’est pas le seul motif permettant le traitement de données personnelles. Le traitement peut aussi se voir justifier s’il est nécessaire au regard d’obligations légales, d’obligations contractuelles, de permettre la sauvegarde de la vie d’autrui, pour un motif d'intérêt général, ou encore de l'intérêt légitime de la personne chargée du traitement ( l’entreprise ou l’organe public).

Qu’est ce qu’un consentement licite pour le RGPD ?

Un consentement obtenu de manière licite pour le RGPD s’articule autour du respect de 4 principes :

  1. Le consentement doit d’abord être libre pour la personne concernée, cette dernière ne doit donc pas être contrainte de donner son autorisation.
  2. Le consentement doit être éclairé. La personne concernée doit ainsi être consciente de l’étendue des données consenties à être collectées.
  3. Le consentement doit être univoque et par conséquent externalisé, que ce soit par écrit ou par une déclaration claire. Ce principe est consacré pour empêcher certaines pratiques telles que les cases pré-cochées sur les sites internet par exemple.
  4. Enfin le consentement se doit d’être spécifique et ne porter que sur un traitement. Par exemple, si une entreprise recherche le consentement pour plusieurs traitements à finalités différentes, il reviendra à l’entreprise de permettre aux utilisateurs d’accepter ou refuser séparément ces traitements.

Qu’est ce que la minimisation des données ?

La minimisation des données est le principe selon lequel seules les données pertinentes et nécessaires à la finalité du traitement peuvent être collectées. Il est ainsi, en principe, prohibé de collecter des données à titre préventif, sauf à informer les personnes concernées et leur donner un choix clair de pouvoir refuser une telle collecte.

Combien de temps peut-on conserver des données ?

Les données doivent être conservées pendant une durée limitée. Cette durée est déterminée au cas par cas par le responsable de traitement en fonction de la finalité. Le temps de conservation peut être une durée fixe ( ex: 1 an) ou jusqu'à la détermination de l’objectif décrit dans les finalités ( ex: durée de la relation contractuelle).

Certaines réglementations, notamment fiscales, imposent la conservation de données pendant des durées minimales. Pour des traitements particuliers, la CNIL a proposé des durées maximales de conservation (ex: un mois pour la vidéosurveillance). Il est possible d’y déroger mais il sera nécessaire pour le responsable de traitement de le justifier.

Qui est le responsable de traitement ?

Le responsable de traitement est défini comme la personne physique ou morale, aussi bien organe public qu’entreprise, qui détermine les finalités et les moyens de traitement. Le responsable de traitement n’est donc pas nécessairement la personne ou l’organe traitant les données, cette tâche pouvant être déléguée.

Qu’est-ce qu’un sous-traitant ?

Le sous-traitant est la personne physique ou morale, aussi bien organe public qu’entreprise privée, qui va traiter les données personnelles pour le compte et sur instruction du responsable de traitement.

Quels sont les risques pour les personnes concernées en cas de faille de sécurité ?

En cas défaillance des systèmes informatiques de la part du responsable de traitement ou du sous-traitant, on considère qu’il existe 3 risques majeurs pour les données des personnes concernées :

  • La perte de disponibilité : Les données ne sont plus accessibles pour les personnes concernées.
  • La perte d’intégrité : Les données ont été modifiées sans le consentement des personnes concernées.
  • La perte de confidentialité : Les données sont devenues accessibles à des personnes non concernées.

Qui est responsable en cas de perte de données ?

Comme son nom l’indique, le responsable de traitement est désigné comme responsable en cas de faille de sécurité. En principe la responsabilité contractuelle d’un sous-traitant ne sera engagée que dans le cas où ce dernier aurait manqué à ses obligations.

Quels sont les droits des personnes sur leurs données ?

L’ensemble des droits consacrés par le RGPD ont pour ambition de donner une plus grande maîtrise de leurs données aux personnes concernées. En addition d’un droit général de connaissance sur l’identité du responsable de traitement et sur les finalités de celui-ci, vient s’ajouter, un droit d'accès, de rectification, d’opposition, de limitation du traitement, ainsi qu’ un droit d’effacement et de portabilité.

Qu’est-ce que le droit d'accès aux données ?
L’exercice de ce droit implique pour le responsable de traitement la fourniture d’une copie de l’ensemble des informations collectées à la personne concernée.

Qu’est-ce que le droit de rectification ?
Lorsque les données ne sont plus exactes, la possibilité pour la personne concernée de modifier, compléter ou corriger les informations à caractère personnel.

Qu’est-ce que le droit d’opposition ?
A tout moment dans le cadre d’une prospection commerciale, la personne concernée peut s’opposer au traitement. mais cette opposition ne se traduit pas nécessairement par une suppression définitive des données. De plus, l’organisme de traitement peut ne pas faire suite à ce droit si des motifs légitimes et impérieux existent, ou bien qu’une obligation légale empêche l’effacement des données.

Qu’est-ce que le droit à l'effacement ?
Toute personne concernée peut demander à l’organisme de traitement d’effacer ses données personnelles. Ce droit doit être garanti dans six cas précis :

  1. si les données ne sont plus nécessaires au regard de la finalité
  2. si la personne concernée retire son consentement
  3. s’il n’existe pas de motifs légitimes impérieux
  4. si la personne concernée a fait l’objet d’un traitement illicite
  5. si l’effacement entre dans la cadre d’une obligation légale
  6. si les données ont été collectées auprès d’un mineur dans le cadre d’une offre commerciale

Qu’est-ce que le droit à la portabilité ?
L’organisme de traitement peut être amené à fournir des données sous format lisible à la personne concernée souhaitant utiliser ou transférer ces dernières vers un autre organisme de traitement (ex : une playlist de musique ou encore des coordonnées téléphoniques). A noter que seules les données collectées en vertu d’une clause contractuelle ou du consentement de la personne concernée relèvent du régime de la portabilité.

Qu’est-ce que  le droit à la limitation de traitement ?
Pendant le traitement d’une demande d'opposition ou de rectification, la personne concernée peut demander un gel de l’utilisation de ces données personnelles ou bien le gel du délai de suppression/archivage définitif ( ce qui est notamment utile si ces données sont sur le point d’être effacés et sont utiles aux personnes concernées dans le cadre d’une instance judiciaire ).

Quelle autorité assure le respect du RGPD en France ?

En France, la Commission nationale de l’Informatique et des Libertés ( ou CNIL) est la garante de l’application du RGPD par les organismes publics et privés.

Peut-on porter plainte sur la base d’une violation du RGPD ?

Des voies de recours auprès de la CNIL ou auprès d’une juridiction sont possibles. Le principe veut que le demandeur puisse saisir la juridiction de de sa résidence habituelle, de son lieu de travail ou du lieu où la violation est opérée. Il est possible pour une personne concernée de se voir représenter par un organisme ou une association à but non lucratif.

Quelle est l’amende pénale pour détournement de finalité de traitement ?

Le détournement de finalité de traitement est une infraction visée à l’article 226-21 du Code Pénal, puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Quel est le montant maximum d’une amende liée au RGPD ?

En numéraire, la sanction maximale dans le cadre de non-respect des dispositions du RGPD est l’amende administrative prononcée par la CNIL, qui peut, selon la gravité des faits, aller jusqu'à 20 000 000 euros ou 4% du chiffre d'affaires mondial annuel.

Une entreprise basée en dehors de l’Union Européenne doit-elle se conformer au RGPD ?

Le RGPD autorise le traitement et transfert en dehors de l'Union européenne, dès lors que le pays de transfert possède un niveau de protection des données personnelles équivalent à ce que le RGPD permet sur le territoire européen.

Qu’est-ce qu’un pays adéquat au sens du RGPD ?

Un pays adéquat est un pays non membre de l’Union européenne et offrant une protection juridique équivalente à celle proposée par le RGPD. Le transfert de données personnelles vers ce pays peut se faire dans les mêmes conditions que celui opéré vers un pays membre de l’Union européenne. C’est la commission européenne qui évalue le niveau de protection des pays, et leur attribue une décision d’adéquation.