rgpdLe Règlement Général sur la Protection des Données personnelles (RGPD), adopté en avril 2016, harmonise le droit européen en matière de protection des données personnelles. Il est directement applicable en France et dans les autres Etats-membres l’Union européenne depuis le 25 mai 2018. Il concerne l’ensemble des acteurs (start-ups, TPE, PME, grands groupes, associations, syndicats, organisations professionnelles, collectivités territoriales…).

Le RGPD vise à renforcer la maîtrise des individus sur leurs données personnelles dans un contexte de plus en plus numérique et à inciter les acteurs à jouer un rôle actif dans le contrôle de la conformité du traitement de ces données (= Accountability). En cas de non-conformité au RGPD, les organismes encourent de lourdes sanctions administratives (amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial). Il est donc urgent pour les organismes de se préparer à la mise en œuvre du règlement.

Afin de vous aider dans cette préparation, le MEDEF vous propose des outils pour comprendre vos obligations et mettre en place le RGPD.

 

1.    Pour comprendre vos obligations :

Note d’information du MEDEF sur le RGPD: (télécharger le document – 9 pages)

Cette note vous aidera à répondre aux premières questions qui sont « Qu’est-ce qu’un traitement de données à caractère personnel ? », ou encore « Quand doit-on appliquer le RGPD ? ». Elle précise par ailleurs ce qu’on entend par le renforcement des obligations du responsable de traitement, celui qui détermine les finalités et les moyens de traitement de la donnée personnelle.

Enfin, vous disposerez des éléments de base pour la mise en œuvre, l’exécution et la fin du traitement des données personnelles :

  • Comment mettre en place un traitement ?
  • Comment informer les personnes de l’existence d’un traitement ?
  • Comment utiliser les données ?

Vidéo de présentation de la CNIL (15 min)

Le Youtubeur « Cookie Connecté » a collaboré avec la CNIL pour réaliser une vidéo sur l’arrivée du Règlement européen sur la protection des données (RGPD). Cette vidéo de 15 minutes répond aux principales interrogations posées par les professionnels sur Twitter et LinkedIn à l’occasion du mois européen de la cybersécurité.

Face à certains discours alarmistes, cette vidéo vise également à rassurer les organismes qui respectent déjà la « loi informatique et libertés » mais qui s’inquiètent des moyens à mettre en œuvre pour s’assurer de leur conformité au RGPD. La vidéo répond ainsi aux questions suivantes :

  • Mon activité est-elle concernée ?
  • Qu’est-ce que le RGPD va changer pour mon activité ?
  • Comment me mettre en conformité ?
  • Est-ce la fin des déclarations ?

Outil de diagnostic RGPD du MEDEF « êtes-vous RGPD friendly ? »: rgpd.medef.com

En collaboration avec le cabinet De Gaulle Fleurance & Associés, ce diagnostic en ligne vous permet par le biais d’une trentaine de questions de distinguer le vrai du faux quant :

  • À la sécurité des traitements
  • Les dispositifs internes de conformité
  • Aux relations avec vos partenaires
  • À la relation avec vos salariés
  • À vos relations clients

 

MOOC du MEDEF : https://www.moncampusnumerique.fr/moocs/

Au sein du Campus Numérique du Medef que vous connaissez bien désormais, en collaboration avec le cabinet De Gaulle Fleurance & Associés, en 6 chapitres d’une dizaine de minutes chacun, vous pourrez balayer les questions et thématiques suivantes :

  • Les notions clés du RGPD et les enjeux de la gestion des données personnelles
  • Quelle méthodologie mettre en en œuvre pour être conforme au RGPD ?
  • Qu’est-ce que la gouvernance des données personnelle et quel est le rôle du Data Protection Officer ?
  • Les traitements des données par le prisme des interlocuteurs de la société : Salariés, Clients, Sous-traitants
  • Comment gérer les risques liés au traitement des données personnelles et respecter l’obligation de sécurité ?
  • Les enjeux des transferts internationaux des données personnelles : comment les encadrer ?

Si vous ne disposez pas de votre code d’inscription adhérent, veuillez contacter Grégory AH-KIEM gregory.ah-kiem@medef-reunion.com

 

Fiches pratiques du MEDEF

Véritable guide pratique et synthétique sur la protection des données personnelles, les fiches pratiques du MEDEF :

 

Guide de la CNIL à destination des TPE/PME (32 pages)

Le guide pratique de sensibilisation au RGPD des petites et moyennes entreprises a uniquement pour objectif de sensibiliser les PME à mettre en œuvre leurs propres dispositifs de protection des données, dont elles sont seules et entièrement responsables.

Si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants !

En effet, le critère à prendre en compte est le volume ou la sensibilité des données traitées et non pas la taille ou le nombre d’employés d’une entreprise.

Ce règlement dans votre entreprise n’est donc pas obligatoirement un projet technique ou juridique, il s’agit avant tout de bon sens et d’organisation.

Ce guide est décomposé en 6 chapitres :

  • Traitement des données à risque : êtes-vous concerné ?
  • La sous-traitance
  • Comment passer à l’action ?
  • Données personnelles, traitement des données : de quoi parle-t-on ?
  • Quels sont les 6 avantages pour votre PME ?
  • Pourquoi ce nouveau règlement ?

 

Guide pratique à destination des sous-traitants (CNIL) (19 pages)

Les sous-traitants qui traitent des données personnelles pour le compte de leurs clients ont de nouvelles responsabilités au regard du Règlement européen sur la protection des données (RGPD). La CNIL a publié un guide pour les sensibiliser et les accompagner dans la mise en œuvre concrète de leurs obligations.

Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation. Sont notamment concernés :

  • les prestataires de services informatiques (hébergement, maintenance, …),
  • les intégrateurs de logiciels,
  • les sociétés de sécurité informatique,
  • les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients

Que doivent faire les sous-traitants ?

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données.

Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).

Les sous-traitants devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients.

Dans certains cas, ils devront désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement.

Présenté sous forme de questions-réponses, le guide propose également un exemple de clauses de sous-traitance à adapter et préciser selon la prestation de sous-traitance concernée.

Ce guide est un outil vivant qui pourra être enrichi compte tenu des bonnes pratiques remontées auprès de la CNIL par les professionnels.

2.    Pour mettre en place le RGPD :

Plan d’action en 6 étapes de la CNIL (8 pages)

  • ETAPE 1: DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.

  • ETAPE 2: CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

  • ETAPE 3: PRIORISER LES ACTIONS À MENER

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

  • ETAPE 4: GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).

  • ETAPE 5: ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

  • ETAPE 6: DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Modèles de registres des traitements (CNIL)

La CNIL met à votre disposition des modèles de documents et notamment de registre des traitements:

Formulaire de désignation du DPO (délégué à la protection des données personnelles)

Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.

Pour garantir l’effectivité de ses missions, le délégué :

  • doit disposer de qualités professionnelles et de connaissances spécifiques,
  • doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.

1. LE DPO DÉTIENT LES COMPÉTENCES REQUISES
Cela suppose :

  • une expertise juridique et technique en matière de protection des données personnelles ;
  • une bonne connaissance du secteur d’activité, de l’organisation interne, en particulier des opérations de traitements, des systèmes d’information, des besoins en matière de protection et de sécurité des données.

Ces compétences peuvent être acquises, par exemple, à l’occasion de formations adaptées à son profil.

2. LE DPO DISPOSE DE MOYENS SUFFISANTS
Cela implique en particulier pour le DPO de :

  • disposer du temps suffisant pour exercer ses missions ;
  • bénéficier de moyens matériels et humains adéquats ;
  • pouvoir accéder aux informations utiles ;
  • être associé en amont des projets impliquant des données personnelles ;
  • être facilement joignable par les personnes concernées.

3. LE DPO A LA CAPACITÉ D’AGIR EN TOUTE INDÉPENDANCE

Cela signifie :

  • ne pas être en situation de conflit d’intérêt en cas de cumul de sa fonction de DPO avec une autre fonction ;
  • pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme ;
  • ne pas être sanctionné pour l’exercice de ses missions de DPO
  • ne pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.

Si la personne désignée répond à ces trois critères, alors vous pouvez effectuer la déclaration de sa désignation sur le site de la CNIL

Outil d’analyse d’impact de la CNIL (en open source)

Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact sur la protection des données telles que prévues par le RGPD.

Le logiciel PIA s’inscrit dans une démarche d’accompagnement des responsables de traitement dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, il facilite et accompagne la conduite d’une analyse d’impact relative à la protection des données, qui devient obligatoire pour certains traitements à partir de Mai 2018. Cet outil vise aussi à faciliter l’appropriation des guides PIA de la CNIL.

A qui s’adresse l’outil PIA ?

L’outil s’adresse principalement aux responsables de traitement n’étant pas ou étant peu familiers avec la démarche PIA. Il s’agit d’une version « prêt à l’emploi », se lançant facilement sur un poste de travail.

Il est aussi possible de déployer l’outil sur des serveurs afin de l’intégrer dans les outils déjà déployés en interne dans une entreprise.

Divers modèles de documents (MEDEF)

Le MEDEF met à votre disposition: