Reclex Avocats utilise des cookies pour vous garantir une bonne expérience de navigation. Si vous continuez à visiter notre site, nous considérerons que vous acceptez l'utilisation des cookies.

Données personnelles - Mise en conformité règlement général sur la protection des données (RGPD)

Notre cabinet d'Avocats situé à Bordeaux, Saintes et La Rochelle vous accompagne pour mettre en place votre conformité au RGPD.

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD ou GDPR) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est aujourd'hui entré en vigueur. 

Le règlement européen vient modifier et compléter l'ensemble des textes auparavant applicables, et notamment la loi "Informatique et Liberté" du 6 janvier 1978. 

A cet égard, le statut de Correspondant Informatique et Liberté (CIL) a vocation a disparaître afin d'être remplacé par la fonction de Data Protection Officer (ou délégué à la protection des données).

Ce réglement européen entrera pratiquement en application à compter du 25 mai 2018. Pour plus d'informations, nous vous invitons à consulter notre fiche dédiée à la date d'application du RGPD.

Pour en savoir plus sur les nouveautés introduites par le RGPD, nous vous invitons à consulter notre fiche pratique dédiée.

GDPR DPO reclex avocats

Dans l'intervalle, l'intégralité des entreprises traitant des données personnelles (de manière directe ou indirecte) ainsi que l'ensemble des collectivités publiques doivent se mettre en conformité avec l'ensemble des dispositions du réglement européen

Ces obligations sont relativement nombreuses et combinent des obligations juridiques (information de l'utilisateur, contrôle des sous-traitants, transfert des données, etc.) mais aussi techniques (privacy by design, localisation des données, procédures de contrôles, mesures anti-piratages, etc.).

En outre, les entreprises traitant de manière massive des données personnelles et collectivités concernées devront nommer un Délégué à la protection des données (ou Data Protection Officer) à compter du 25 mai 2018.

Notre cabinet propose une offre globale de mise en conformité de votre entreprise avec le règlement européen. 

 DEMANDE DE DEVIS GRATUIT EN LIGNE   

Une demande ? Une question particulière ?

Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne

 

Fabien DREY DPO & RGPD

Me Fabien DREY suit une formation universitaire spécifique (DU DATA PROTECTION OFFICER) afin de parfaire ses connaissances en matière de NTIC et de protection des données. La clientèle du cabinet est principalement composée de start-ups dans le domaine de l'informatique (marketplaces, big data, jeux-vidéo, etc.)

Mettez-vous en conformité RGPD pour le 25 mai 2018 !

Le règlement européen sur la protection des données contient un certain nombre de nouvelles obligations.

Les nouvelles obligations en matière de données personnelles à compter du 25 mai 2018

Bien qu'un grand nombre d'éléments issus de la Loi Informatique et Liberté soient conservés, un certain nombre de nouvelles obligations voient le jour avec l'entrée en application du RGPD.

Les principales nouveautés sont relatives à l'information renforcée des utilisateurs, la fin des procédures de déclaration (à l'exception de certaines procédures spécifiques) ainsi qu'à l'encadrement des relations avec les sous-traitants

Par ailleurs, des procédures spécifiques doivent être mises en place (aussi bien au niveau technique qu'au niveau juridique) afin d'assurer la protection des données personnelles.

Pour plus d'informations concernant ces nouvelles obligations issues du RGPD, nous vous invitons à consulter notre fiche pratique faisant la synthèse des nouveautés du RGPD à compter du 25 mai 2018.

La protection des données, le domaine de la CNIL

L'autorité de régulation en charge du contrôle et des sanctions en matière de protection des données personnelles reste la CNIL

Qu'est-ce qu'une donnée personnelle ? 

La définition des données personnelles

Une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable (de manière directe ou indirecte). 

Il s'agit de l'ensemble des données collectées et relatives à une personne (nom, adresse, adresse IP, géolocalisation, taille, habitudes, etc.).

La quasi-intégralité des entreprises sont donc concernées par le traitement des données personnelles vis-à-vis de leurs clients (fichier client, formulaires en ligne, etc.) mais aussi vis-à-vis de leur personnel (temps de travail, relevés d'absence, fonction, rémunération, etc.) au regard de l'article 88 du RGPD.

A cet égard, la réglementation européenne RGPD sera applicable et les normes édictées devront être scrupuleusement respectées.

Données personnelles GDPR

Le cas particulier des données sensibles

Par ailleurs, les entreprises collectant directement ou indirectement des données "sensibles" seront soumises à des obligations de protection supplémentaires

Les données sensibles représentent les données personnelles attachées aux droits et libertés fondamentaux. 

Ces données sensibles sont notamment relatives à l'origine ethnique, la santé, les opinions politiques, etc. 

A cet égard, l'entreprise collectant des données sensibles devra respecter certains protocoles précis afin de garantir l'intégrité et la sécurité de ces données.

Encadrer les données personnelles, pour quoi faire ?

Les données personnelles (Data) constituent le pétrole du XXIème siècle. A cet égard, les données personnelles ont une valeur marchande considérable pour les entreprises qui les traitent et, parfois, les revendent.

Ces traitements peuvent avoir un impact sur la vie courante des individus et notamment sur l'exercice de certaines libertés.

C'est notamment pour cette raison que depuis 1978, la loi française encadre le traitement des données personnelles. Après plusieurs réformes de cette loi, le règlement européen sur la protection des données vient apporter un nouvel encadrement (et de nouvelles sanctions) aux entreprises traitant de la donnée (en pratique TOUTES les entreprises).

Nous vous invitons à consulter la vidéo ci-dessous édité par le site myshadow (https://myshadow.org/fr) relatif aux traces laissées sur Internet :

Quelles sont les sanctions en cas de non-respect de la réglementation RGPD ?

Les sanctions administratives pouvant être infligées sont encadrées par l'article 83 du réglement RGPD.

Au cas particulier, ces amendes peuvent atteindre (sous conditions) 20.000.000 € ou 4% du chiffre d'affaires mondial de l'entreprise, "le montant le plus élevé étant retenu".

Les amendes infligées sont ainsi particulièrement dissuasives afin d'obliger les entreprises concernées à se mettre en conformité.

Par ailleurs, le système déclaratif actuel de déclaration à la CNIL sera remplacé. Un système de contrôle a posteriori lui sera préféré à compter de la mise en place du règlement.

A cet égard, et en cas de contrôle (sur pièce ou directement par internet), chaque entreprise devra être en mesure de justifier de sa mise en conformité avec le réglement RGPD.

Votre entreprise est-elle concernée par la mise en conformité à la GDPR?

Le RGPD s'applique "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier."

En l'occurence, toutes les entreprises traitant de la donnée personnelle ont l'obligation de se mettre en conformité avec le RGPD au plus tard le 25 mai 2018.

 DEMANDE DE DEVIS GRATUIT EN LIGNE   

Une demande ? Une question particulière ?

Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne

Quelle est la procédure permettant de mettre votre entreprise en conformité à la RGPD ?

Les entreprises traitant des données personnelles doivent respecter un certain nombre d'obligations afin d'être en conformité avec le réglement européen RGPD.

L'ensemble des procédures relatives au traitement de vos fichiers clients (entre autres) devront être revues afin de respecter les dispositions RGPD compliant

Ainsi, il s'agira d'utiliser des outils spécifiques et reconnus (CRM, solutions de tracking, etc.) mais aussi de veiller à ce que l'ensemble de votre documentation juridique (CGU, CGV, éléments relatifs à la donnée personnelle, relations avec les sous-traitants, partenaires, etc.) contienne les clauses de protection adéquates.

Une liste synthétique (et non-exhaustive) des principales obligations en matière est reprise ci-dessous (cette liste est très loin d'être exhaustive mais permet de déterminer les principaux éléments à mettre en place). 

Pour une information plus précise, nous vous invitons à consulter notre fiche pratique dédiée aux principales nouveautés du RGPD.

La nomination d'un délégué à la protection des données (data protection officer / DPO)

Le secteur public (Mairies, Hôpitaux, etc.) ainsi que les entreprises traitant de la donnée à grande échelle (big data, marketing, sondage, intelligence artificielle, etc.) auront l'obligation de désigner un Délégué à la Protection des Données interne ou externe (cabinet spécialisé, Avocat) ayant reçu une formation spécifique et reconnu comme tel par la CNIL.

A cet égar, Me Fabien DREY, DPO, dispose de locaux implantés à Bordeaux et à Saintes afin de vous accompagner en tant que DPO.

Pour plus d'informations quant à la nomination d'un DPO à Bordeaux ou en Charente-Maritime, nous vous invitons à cliquer sur notre page dédiée à nos missions de DPO.

L'information préalable des clients et le recueil du consentement

Le recueil du consentement des personnes dont les données personnelles seront collectées est un élément fondamental du réglement RGPD. Ce consentement est d'ores et déjà encadré par la loi française actuelle. 

Cependant, les sanctions inhérentes à l'incapacité de prouver que l'utilisateur a bien donné son consentement préalable seront renforcées.

Par ailleurs, il convient d'informer l'utilisateur concernant notamment : 

  • la finalité du traitement des données ; 
  • la durée d'archivage ; 
  • les méthodes lui permettant de réclamer ses données (sous un certain format) ; 
  • le droit à la portabilité de ses données.

L'ensemble de la documentation juridique à destination de la clientèle devra donc être revue.

L'information des collaborateurs

Dans le même sens, l'entreprise devra s'assurer qu'elle respecte l'ensemble des normes RGPD (au niveau technique mais aussi au niveau juridique) et devra pouvoir rapporter la preuve de cette mise en conformité en cas de contrôle.

Les contrôles internes 

Le RGPD impliquera par ailleurs de respecter certaines normes techniques en matière de conservation et d'exploitation des données. 

Ainsi, les entreprises devront impérativement mettre en place les démarches suivantes : 

  • security by default : les données personnelles utilisées ne devront être celles qui sont strictement utiles à la finalité poursuivie par l'outil technique. Ainsi, chaque outil utilisé par l'entreprise ne devra avoir accès qu'aux données qui lui sont nécessaires afin de traiter la demande ;
  • privacy by design : l'ensemble des données personnelles devront être identifiées dès l'origine comme telle et traitées de manière séparées dans le système d'information. Cette modification demandera le plus souvent une mise en conformité de la plate-forme logiciel de l'entreprise et de sa manière de traiter numériquement la donnée ; 
  • l'accountability : l'ensemble des traitements de données doit être retracé et justifié afin que le responsable du traitement des données soit en mesure, à tout moment, de rapporter la preuve que la protection des données personnelles est assurée, au regard de la réglementation RGPD.

Le contrôle des transferts de données

L'ensemble des transferts de données à des sous-traitants ou des partenaires commerciaux, y compris à l'étranger, fera l'objet de mesures de protections strictes au niveau juridique (par l'intégration dans les contrats d'obligations relatives au respect du RGPD), mais aussi au niveau technique.

Le contrôle des sous-traitants et la rédaction de contrats spécifiques

L'entreprise devra à tout moment être en mesure qu'elle exerce un contrôle suffisant sur ses sous-traitants en matière de traitement des données personnelles et de compliance au RGPD.

A cet égard, un contrôle spécifique et une surveillance (par la preuve de justificatifs de traitements notamment) devra être mis en oeuvre par l'entreprise à destination de l'ensemble de ses sous-traitants.

  données personnelles DPO reclex avocats Fabien DREY

 DEMANDE DE DEVIS GRATUIT EN LIGNE   

Une demande ? Une question particulière ?

Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne

Vous trouverez ci-dessous le détail de notre intervention en matière de mise en conformité RGPD (pour ce faire, nous serons assisté de partenaires extérieurs spécialisés dans le traitement technique de la protection des données).

  • 1

    Audit & Mapping

    Audit préalable juridique et technique

  • 2

    Revue des contrats externes

    Revue de l'ensemble de la documentation juridique à destination de vos clients.

  • 3

    Revue interne

    Revue de la documentation juridique à destination de vos collaborateurs.

  • 4

    Revue commerciale

    Revue de vos rapports avec l'ensemble de vos sous-traitants.

  • 5

    Modification de vos bases de données

    Modification de vos procédures de traitements des données personnelles

  • 6

    Revue de vos process d'alertes

    Mise en place de procédures d'alertes spécifiques en cas d'intrusion.

  • 7

    Sécurité informatique

    Mise en place de protection adéquates permettant de prévenir les intrusions.

  • 9

    Formation du personnel

    Formation de votre personnel sur l'impact du RGPD sur leur pratique quotidienne et formation en matière de sécurité informatique.