FAQ SMC Compliance

Certaines réponses contiennent des liens de redirection pour une information plus détaillée.

Comment savoir si mon organisme est concerné par le RGPD ?

  • Si votre organisme est situé dans un pays de l’Espace Economique européen ;
  • Si votre organisme n’est pas situé dans cet espace mais propose des biens ou
    services à des personnes physiques situées dans cet espace ;
  • Quelle que soit sa taille (entreprise unipersonnelle, auto-entrepreneur, TPE, PME)
  • Quelle que soit sa nature (association, société commerciale, établissement public)
    il est concerné par le RGPD et doit, sous peine de sanctions, être conforme à ce
    règlement.

Que faut-il faire concrètement pour être conforme au RGPD ?

  • Gouvernance : nommer un pilote (il peut s’agir d’un DPO) pour
    votre projet de conformité. Rédiger ou mettre à jour les politiques et procédures
  • Transparence et loyauté : prévoir des mentions de collecte, les
    bandeaux de cookies, les politiques de confidentialité
  • Analyse d’impact sur la protection des données (AIPD) :
    identifier les traitements présentant des risques élevés pour les droits et libertés
    des personnes, et mener une AIPD
  • Droits des personnes : veiller au respect des droits des
    personnes concernées (procédure interne, sensibilisation du personnel, information
    des personnes concernées) et documenter
  • Sous-traitance : vérifier et mettre à jour les contrats avec les
    clients et les prestataires et documenter
  • Sensibilisation des salariés : sensibiliser ses collaborateurs à
    la protection des données personnelles et à ses enjeux et documenter
  • “Privacy by Design and by default” : intégrer la protection des
    données dès la conception de tout projet ou traitement, et par défaut et documenter
  • Demandes d’exercice de droits : être capable de répondre en 30
    jours aux demandes d’exercice de droits des personnes concernées et documenter
  • Violations de données personnelles : être capable de notifier la
    CNIL dans les 72 heures de toute violation de données (incident de sécurité
    affectant des données personnelles)
  • Responsabilisation ou Accountability : Conserver la preuve de
    toute mesure mise en place dans le cadre de sa démarche conformité, afin de pouvoir
    justifier de sa conformité à tout moment et de manière documentée.

Quels sont les exemples de pratiques à éviter dans le cadre d’une démarche
conformité au RGPD ?

  • Envoyer des informations RH par mail (ex: bulletins de paie arrêt maladie, etc.)
  • Permettre à tout le monde au sein de l’entreprise, d’accéder à tous les types
    dossiers
  • Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs
    utilisateurs)
  • Stocker les données personnelles sensibles (ex : copie de carte vitale, arrêts
    maladies, etc.) dans des environnements et dossiers non sécurisés
  • Conserver les données personnelles (des clients / salariés / sous-traitants, etc.)
    au-delà de la finalité qui a justifié leur collecte et après extinction de l’action
    en justice
  • Avoir des sous-traitants ou partenaires ne présentant pas de garanties suffisantes
    en matière de protection des données personnelles (ne pas vérifier la conformité du
    sous-traitant, ne pas insérer de clauses RGPD dans les contrats)
  • Ne pas veiller à une conformité continue de l’organisme (diagnostics de conformité
    réguliers, sensibilisation des salariés, mises à jour des procédures, chartes et
    registre, revue des process internes)
  • Avoir un site internet non sécurisé (http) et / ou des mentions légales non
    conformes
  • Déposer des cookies sur les terminaux des utilisateurs sans recueillir leur
    consentement au préalable
  • Ne pas prévoir dans les newsletters, des possibilité de se désinscrire de façon
    effective
  • Etc.

Quels sont les risques en cas de non-respect du RGPD ?

En cas de non-respect, votre organisme s’expose à des sanctions de la part
de l’autorité de contrôle, en France il s’agit de la CNIL, la Commission Nationale de
l’informatique et des Libertés. Il peut s’agir, selon la nature du manquement :

    • d’un rappel à l’ordre ;
    • d’une injonction de mettre le traitement en conformité, y compris sous astreinte ;
    • d’une limitation temporaire ou définitive d’un traitement ;
    • d’une suspension des flux de données ;
    • d’une injonction de satisfaire aux demandes d’exercice des droits des personnes, y
      compris sous astreinte ;
    • d’une amende administrative qui peut aller jusqu’à 20 millions d’euros ou dans le
      cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial

Les critères permettant de fixer la sanction en sa nature ou son montant peuvent
être :

  • la nature, gravité et du durée de l’infraction ou du manquement,
  • le nombre de personnes concernées, catégories de données concernées,
  • la commission délibérée de l’infraction ou par négligence,
  • les infractions antérieurement commises,
  • le degré de coopération avec l’autorité de contrôle,
  • les mesures prises pour atténuer les dommages subis par les personnes

Veuillez trouver plus de détails ici Il
peut s’agir

Qu’entend-on par donnée personnelle ?

Une donnée personnelle est toute information relative à une personne
physique, dès lors que la personne peut être identifiée soit directement avec
l’information détenue, soit indirectement avec l’ensemble des informations la
concernant pouvant être accessibles et en fonction des moyens techniques
d’identification pouvant être raisonnablement mis en œuvre.

Exemple de données d’identification directe :

    • Noms des salariés, des clients, des clients des clients, des salariés des clients,
      etc.
    • Photographie
    • Email
    • Carte bancaire
    • Bulletin de paie
    • Enregistrement de communication (voix)

Exemple de données d’identification indirecte

    • Tous numéros ou codes d’identification
    • Donnée pseudonymisée
    • Adresse IP…
    • Et toute autre information se rapportant à une personne dès lors qu’’on dispose
      d’une seule information susceptible de l’identifier

À noter que certaines catégories de données personnelles doivent faire l’objet de
mesures de sécurité renforcées. Il s’agit des données sensibles énumérées
limitativement à l’article 9 du RGPD :

  • Origines raciales ou ethniques
  • Opinions politiques
  • Convictions philosophiques ou religieuses
  • Appartenance syndicale
  • Santé (physique ou mentale)
  • Vie ou orientation sexuelle
  • Données génétiques
  • Données biométriques

Veuillez trouver plus de détails ici l’article 9 du RGPD

Toutes les données personnelles doivent-elles être protégées ?

  • Toutes les données personnelles traitées par les organismes, quel que soit le
    support (papier, numérique, etc.) et quel que soit le type de traitement (collecte,
    modification, enregistrement, communication, consultation, suppression, etc.)
    doivent être protégées.
  • Il existe un catégorie de données personnelles dites sensibles, prévues à l’article
    9 du RGPD et dont le traitement est par principe interdit. Il s’agit par exemple des
    données de santé, les données biométriques, les données permettant de déterminer la
    race, les opinions politiques, l’orientation sexuelle, etc.
  • Malgré le principe d’interdiction, ces données peuvent néanmoins, être traitées
    sous certaines exceptions limitatives prévue à l’alinéa 2 de l’article 9 du RGPD
  • À noter que la protection des données personnelles prévue par le RGPD ne concerne
    que les données de personnes physiques, à l’exception de celles de personnes
    morales.

Comment s’assurer qu’un site internet ou autre plateforme respecte le RGPD ?

Pour s’assurer votre activité est faite dans le respect des exigences du
RGPD, il y a quelques précautions élémentaires à prendre :

    • Mettre en œuvre le protocole TLS afin de garantir l’authentification du serveur, la
      confidentialité et l’intégrité des données échangées
    • Limiter les ports de communication (autoriser uniquement https et bloquer tous les
      autres ports)
    • Limiter l’accès aux outils et interfaces d’administration aux seules personnes
      habilitées.
    • Informer l’internaute et recueillir son consentement avant le dépôt de cookies

En outre, vous devez être transparent vis-à-vis des personnes concernées, notamment
grâce aux mentions obligatoires à faire figurer sur votre site internet ou vos
plateformes. Ces mentions tiennent à :

    • l’identification de l’entrepreneur ou de la société
    • la nature de l’activité exercée
    • les mentions relatives à l’utilisation de cookies informer les internautes de la
      finalité des cookies obtenir leur consentement fournir aux internautes un moyen de
      les refuser

Doivent également figurer des mentions relatives à l’utilisation de données
personnelles :

  • Coordonnées du DPO ou du référent protection des données personnelles
  • Finalité poursuivie par le traitement auquel les données sont destinées
  • Caractère obligatoire ou facultatif des réponses et conséquences éventuelles à
    l’égard de l’internaute d’un défaut de réponse
  • Destinataires ou catégories de destinataires des données
  • Droits d’opposition, d’interrogation, d’accès et de rectification
  • Au besoin, les transferts de données à caractère personnel envisagés à destination
    d’un État n’appartenant pas à l’Union européenne
  • Base juridique du traitement de données
  • Mention du droit d’introduire une réclamation (plainte) auprès de la Cnil

Veuillez trouver plus de détails ici précautions élémentaires

Qu’est-ce qu’un traitement de données personnelles ?

Un traitement de données personnelles se définit comme toute opération ou
tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et
appliquées à des données ou des ensembles de données à caractère personnel. La notion
de traitement est donc très vaste, et recouvre l’ensemble des opérations mises en œuvre
durant le cycle de vie d’une donnée :

  • Collecte (directe ou indirecte) ;
  • Enregistrement (dans une base de données, peu importe que le support soit
    électronique ou non ;
  • Consultation (depuis un support électronique ou papier ;
  • Communication ( transfert de données y compris) ;
  • Modification
  • Conservation (en base active ou archivage) ;
  • Suppression (purge)

Qu’est-ce qu’une violation de données personnelles ?

Une violation de données personnelles est un incident de sécurité,
d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant
comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité
de données personnelles

Il s’agit d’une violation de la sécurité entrainant de manière
accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non
autorisée de données à caractère personnel transmises, conservées ou traitées d’une
autre manière, ou l’accès non autorisé à de telles données. Par exemple :

  • l’envoi à un mauvais destinataire, d’un courrier électronique comportant des
    informations personnelles d’une autre personne physique ;
  • la suppression accidentelle de données personnelles conservées par un organisme et
    non sauvegardées par ailleurs ;
  • la perte d’une clef USB non sécurisée contenant une copie de la base clients d’une
    société ;
  • le vol d’un ordinateur non protégé par une mesure de chiffrement ;
  • l’introduction malveillante dans une base de données scolaires et modification des
    résultats obtenus par les élèves Etc.

Veuillez trouver plus de détails ici violation de données personnelles

Que faire en cas de violation de données personnelles ?

Tous les organismes traitant des données personnelles doivent mettre en
place une organisation et des mesures afin d’éviter la survenance d’un incident
susceptible d’affecter des données personnelles. Ils doivent également s’organiser de
façon à réagir efficacement en cas de survenance d’un tel incident. Les obligations
prévues par le RGPD visent à éviter qu’une violation cause des dommages ou des
préjudices aux organismes comme aux personnes concernées.

Lorsqu’une violation se produit, les obligations sont fonction du risque
que pourrait avoir la violation sur les droits et libertés des personnes concernées.
Ainsi :

  • Si la violation n’entraîne aucun risque, l’organisme doit la documenter,
    c’est-à-dire la consigner dans le registre des violations ;
  • Si la violation entraîne un risque, l’organisme doit, en plus de documenter,
    notifier la CNIL dans les 72 heures de la survenance de la violation ;
  • Si la violation entraîne un risque élevé, en plus de documenter et notifier la
    CNIL, l’organisme doit informer les personnes concernées dans les meilleurs délais

Veuillez trouver plus de détails ici Les obligations prévues

Quels sont les droits dont disposent les personnes sur leurs données personnelles
?

L’un des objectifs du RGPD est de renforcer les droits des personnes et de
faciliter leur exercice. C’est pourquoi les droits existants avant le RGPD ont été
renforcés, et de nouveaux droits ont été créés.

Les droits renforcés sont :

    • le droit d’accès ;
    • le droit de rectification ;
    • le droit d’opposition ;
    • le droit à l’effacement ou à l’oubli.

Les nouveaux droits sont :

    • le droit à la portabilité
    • le droit à la limitation du traitement ;
    • le droit de ne pas faire l’objet d’une décision automatisée, y compris le profilage

En cas de demande d’exercice de droits, l’organisme dispose d’un mois pour répondre.
Ce délai peut être dépassé à condition d’être justifié

Comment organiser sa conformité au RGDP sans perdre en productivité ?

  • Chaque entreprise est libre de s’organiser à sa guise, y compris dans le cadre de
    sa démarche conformité. Il est généralement recommandé de désigner un.e référent.e
    qui aura la charge de s’assurer du respect des obligations réglementaires.
  • Mais la mise en conformité au RGDP est un processus qui prend beaucoup plus de
    temps pour les non-initiés.
  • Heureusement, le logiciel SMC Protect permet aux organismes de taille petite et
    moyenne de prendre en main leur conformité de manière totalement autonome, grâce à
    ses modules couvrant l’ensemble des axes de la conformité, les modèles de documents
    à personnaliser, les tutoriels pour faciliter une prise en main de l’outil, et la
    possibilité d’être accompagné ponctuellement par un.e consultant.e spécialisé.e en
    protection des données personnelles.
  • Ainsi, votre organisme peut se consacrer à son activité, dans le respect des
    exigences réglementaires en matière de protection des données personnelles, le tout
    sans que cela ne soit chronophage et n’affecte la productivité de l’organisme.

Consentement à l'utilisation de Cookies selon le RGPD avec Real Cookie Banner