Une donnée personnelle ou « » est une (ex : nom, prénom, numéro de sécurité sociale, adresse, numéro de téléphone, adresse mail, photo, empreinte, donnée de géolocalisation, adresse IP ou identifiant en ligne). donnée à caractère personnel information se rapportant à une personne physique identifiée ou identifiable

Une personne est dite lorsque l'on connaît son identité. Une personne est lorsqu'elle peut être identifiée, quand bien même ses nom et prénom resteraient inconnus, à partir du (ex : une femme vivant à telle adresse, née tel jour et membre de telle association). identifiée identifiable croisement d'un ensemble de données

En revanche, une donnée n'est plus personnelle lorsqu'elle est , éliminant ainsi toute possibilité d'identifier la personne concernée. anonymisée

De même, une donnée n'est pas personnelle lorsqu'elle se rapporte à une (ex : une entreprise, une association). personne morale

Un traitement de données personnelles consiste en , quel que soit le procédé utilisé (ex : la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données). toute opération portant sur des données personnelles

Autrement dit, on parle de traitement de données dès que les données d'une personne sont utilisées d'une manière ou d'une autre et peu importe à qui appartiennent ces données (un , un , un , un , un , etc.). client fournisseur prestataire employé candidat à l'embauche

Un traitement de données personnelles n’est pas nécessairement informatisé, et doivent être protégés dans les mêmes conditions. les fichiers papier sont également concernés

Pour être conforme au RGPD, le traitement de données doit obéir aux : principes suivants

• Le traitement doit être : il doit être fondé sur l'une des 6 bases légales fixées par le RGPD notamment le consentement de la personne concernée, l'exécution d'un contrat ou le respect d'une obligation légale. licite

• Le traitement doit être : la personne dont les données sont collectées doit être informée de la collecte et de sa finalité, ainsi que des droits dont elle dispose sur ses données (accès, rectification, portabilité, effacement...). transparent

• Le traitement doit avoir une : le responsable du traitement doit définir l'objectif poursuivi par la collecte des données (ex : prospection, suivi de relations clients, ressources humaines). Les données ne doivent pas être traitées d’une manière incompatible avec cette finalité. finalité

• Le traitement doit être : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. On parle de « ». Par exemple, une société n'a pas à collecter le numéro de téléphone de ses clients lorsqu'elle adresse uniquement de la prospection par mail. proportionnel et pertinent principe de minimisation

• Le traitement doit être : la durée de conservation des informations doit être définie dès la mise en place du dispositif qui collecte ces données. Une fois l’objectif atteint, les informations collectées ne sont plus nécessaires et doivent donc être supprimées. temporaire

• Le traitement doit être : toutes les mesures nécessaires pour garantir la sécurité, et notamment la confidentialité des données personnelles doivent être mises en place (ex : mots de passe, https, sauvegarde). Ces mesures de sécurité sont proportionnelles aux risques encourus (ex : vol ou perte de données). sécurisé

Sauf exceptions, tout traitement portant sur des données dites est . Il s'agit d'une qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques). sensibles interdit catégorie de données éminemment personnelles

Le représentant légal de l'entreprise (chef d'entreprise, gérant, président...) est désigné « ». Le responsable du traitement est la personne , il détermine ses finalités et ses moyens. responsable du traitement à l'initiative du traitement de données

Le plus souvent, le responsable de traitement a recours à un chargé de traiter les données pour le compte du responsable du traitement (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale). sous-traitant

Le responsable du traitement et son sous-traitant doivent respecter de en matière de protection des données personnelles. nombreuses obligations

Le responsable du traitement doit transmettre les : informations suivantes

• Identité et coordonnées du responsable du traitement

• Coordonnées du délégué à la protection des données (DPO), le cas échéant

• Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées

• Base légale justifiant le traitement : il peut s'agir du consentement de la personne, du respect d'une obligation prévue par un texte de loi, de l'exécution d'un contrat, etc.

• Caractère obligatoire ou facultatif de la fourniture de données personnelles : les conséquences pour la personne en cas de non-fourniture des données

• Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)

• Durée de conservation des données personnelles

• Droits de la personne sur ses données : droit de refuser la collecte, droit d'accéder, de rectifier et d'effacer ses données

• Droit de la personne d'introduire une réclamation auprès de la Cnil

• Source d’où proviennent les données personnelles, en cas de collecte indirecte

• Existence d'un transfert des données personnelles vers un pays hors de l', le cas échéant. Union européenne

Les informations doivent être transmises de façon , en des termes clairs et simples. Autrement dit, l’information doit être présentée de manière efficace et succincte pour parmi d’autres contenus informatifs. concise, transparente, compréhensible et facilement accessible ne pas être noyée

La forme de présentation doit sur lequel est communiquée l’information. Par exemple, pour éviter des mentions trop longues au niveau d’un formulaire en ligne, le responsable du traitement peut donner un premier niveau d'information en fin de formulaire et renvoyer vers une page dédiée sur son site internet. tenir compte du support

Le titre de la page doit être clair, par exemple : « », « » ou « ». Cette page fait partie des . politique de confidentialité page vie privée données personnelles mentions obligatoires sur un site internet

Le fait de ne pas informer la personne auprès de laquelle sont recueillies des données est puni d'une de pour les entrepreneurs individuels et pour les sociétés. amende pénale 1 500 € 7 500 €

Le recueil du consentement est , à moins que le traitement soit justifié par (ex : contrat de travail, contrat de vente, de location). obligatoire l'exécution d'un contrat

De plus, le recueil de consentement est dans les cas suivants : toujours obligatoire

• Collecte de . Il s'agit d'une catégorie de données éminemment personnelles qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques). données personnelles « sensibles »

• Réutilisation des données pour . Par exemple, un magasin de sport organise un concours et collecte les données des participants pour pouvoir contacter le gagnant (finalité initiale). Si le magasin décide, par la suite, d'utiliser ces données pour constituer un fichier client (nouvelle finalité), il devra de nouveau recueillir le consentement des personnes. d'autres finalités

• Utilisation de au fonctionnement du service (ex : ciblage publicitaire). La a constitué un dossier sur les . cookies non essentiels Cnil règles applicables à l’usage de cookies

• Utilisation des données à des fins de par voie électronique (ex : newsletter, sms). L'obligation de consentement s'éteint si la personne prospectée est déjà cliente de l'entreprise et que la prospection concerne des produits ou services similaires. prospection commerciale

Pour être valable, le consentement obtenu doit remplir les : 4 conditions suivantes

• Le consentement doit être : il ne doit être ni contraint ni influencé. La personne concernée doit avoir véritablement le choix d'accepter ou de refuser le traitement, sans avoir à subir de conséquences négatives en cas de refus (ex : inaccessibilité du site internet). La personne doit également avoir le droit de retirer son consentement à tout moment, et aussi facilement qu'elle l'a donné. libre

• Le consentement doit être : avant de consentir, la personne concernée doit avoir reçu une information suffisante (identité du responsable du traitement, finalité du traitement, type de données collectées, droit de retirer le consentement et éventuel transfert des données hors UE) de manière à pouvoir décider en toute connaissance de cause. L'information doit être communiquée en des termes clairs et facilement compréhensibles. éclairé

• Le consentement doit être : si le traitement comporte plusieurs finalités (ex : gestion de clientèle, enquête de satisfaction, opération de prospection), la personne concernée doit pouvoir donner son consentement de façon indépendante pour l’une ou l’autre de ces finalités. spécifique

• Le consentement doit être : il doit être donné par un acte délibéré, sans aucune ambiguïté. Il peut être recueilli, par exemple, au moyen d'une déclaration écrite ou orale ou via le cochage d'une case par voie électronique (ex : « ». univoque J’accepte que mon adresse électronique soit réutilisée à des fins de prospection commerciale par courrier électronique

En revanche, l'utilisation de cases de consentement cochées par défaut est . De plus, le silence de la personne concernée (ex : la personne visite le site internet sans accepter ou refuser les cookies) . interdite ne vaut pas consentement

La personne concernée doit également avoir le à tout moment, et aussi facilement qu'elle l'a donné. Par exemple, lorsque le consentement est obtenu par voie électronique uniquement par un clic, une frappe ou en balayant l’écran, la personne concernée doit pouvoir retirer ce consentement de la même manière. droit de retirer son consentement

Lorsqu'une personne concernée retire son consentement, le responsable du traitement doit cesser tous les traitements qui se fondent sur celui-ci. Toutefois, les opérations réalisées sur la base d'un consentement donné valablement avant le retrait restent valables.

Lorsque le recueil de consentement est obligatoire, le traitement de données personnelles obtenues de la personne concernée est puni pénalement de d'emprisonnement et d'amende pour les entrepreneurs individuels et pour les sociétés. sans le consentement 5 ans 300 000 € 1 500 000 €

Le responsable du traitement doit permettre, à la personne qui en fait la demande, faisant l'objet d'un traitement. La personne concernée doit pouvoir exercer ce droit, par exemple, au moyen d'un formulaire en ligne, d'une messagerie ou d'un mail de contact. d'accéder à ses données

À cette occasion, le responsable doit lui fournir les : informations suivantes

• Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées

• Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)

• Durée de conservation des données personnelles

• Droits de la personne sur ses données : droit de refuser le traitement, droit de rectifier et d'effacer ses données

• Droit de la personne d'introduire une réclamation auprès de la Cnil

• Source d’où proviennent les données personnelles, en cas de collecte indirecte

• Existence d'un transfert des données personnelles vers un pays hors de l', le cas échéant. Union européenne

La personne concernée doit pouvoir accéder aux informations sur lesquelles le responsable du traitement s’est fondé . Par exemple, les éléments qui auraient servi à un employeur pour ne pas lui accorder une promotion ou le score attribué par une banque et qui a conduit au rejet d'une demande de crédit. pour prendre une décision la concernant

Le responsable a à compter de la date de réception de la demande, y compris s'il ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès. 1 mois pour répondre

Les éléments doivent être communiqués et de manière . Les codes, sigles et abréviations utilisés doivent être expliqués (éventuellement par le biais d’un lexique). gratuitement facilement compréhensible

Le responsable du traitement peut à condition de motiver sa décision. Dans ce cas, il doit informer le demandeur des voies et délais de recours permettant de la contester. refuser la demande d’accès

Il peut également notamment en raison de leur nombre et de leur caractère répétitif ou systématique (ex : demande d’une copie intégrale d’un enregistrement toutes les semaines). ne pas répondre aux demandes manifestement abusives

Le responsable du traitement doit permettre, à la personne qui en fait la demande, de dans les meilleurs délais. La personne concernée doit pouvoir compléter ses données incomplètes, y compris en fournissant une déclaration complémentaire. rectifier ses données inexactes

Le responsable du traitement doit permettre, à la personne qui en fait la demande, d'obtenir dans les meilleurs délais. l'effacement de ses données

Ce « droit à l'oubli » n'est pas général, il s'applique : uniquement dans les cas suivants

• Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière.

• La personne concernée retire le consentement sur lequel est fondé le traitement, et ce traitement n'est pas justifié par l'exécution d'un contrat (ex : contrat de vente, de location, de travail).

• La personne concernée s’oppose au traitement et il n’existe pas de motif légitime pour le traitement.

• Les données personnelles ont fait l’objet d’un traitement illicite (ex : le consentement de la personne n'a pas été reucueilli alors qu'il était obligatoire)

• Les données personnelles doivent être effacées pour respecter une obligation légale prévue par le droit de l’ ou par le droit de l’État membre auquel le responsable du traitement est soumis. UE

Le responsable du traitement doit permettre, à la personne qui en fait la demande, , dans un délai raisonnable (entre 1 et 3 mois selon la complexité de la demande). de recevoir ses données et de les réutiliser

Le droit à la portabilité s'applique aux données personnelles (ex : adresse mail, nom, âge) ainsi qu'à celles lorsqu'elle utilise un service ou un appareil (ex : achats enregistrés sur une carte de fidélité). déclarées par la personne générées par son activité

En revanche, les données personnelles qui sont à partir des données fournies par la personne concernée (ex : profilage à des fins publicitaires) ne rentrent pas dans le périmètre de ce droit. dérivées, calculées ou déduites

Le responsable doit communiquer les données dans un . Lorsque c’est techniquement possible, la personne peut demander à ce que ses données soient directement transmises à un autre responsable de traitement. gratuitement format structuré, couramment utilisé et lisible par ordinateur

Ce droit n’entraîne pas la suppression des données du service depuis lequel elles sont portées. De plus, il peut s’exercer à tout moment, y compris si la personne veut continuer à utiliser le service après avoir exercé ce droit.

La recommande fortement de mettre en place une procédure interne pour répondre aux demandes qui pourraient être reçues. Par exemple, prévoir une fonctionnalité permettant à la personne concernée de télécharger ses données dans un format standard lisible par un ordinateur (CSV, XML, JSON, etc.) directement depuis son compte/espace authentifié. Cnil

Le responsable du traitement peut à condition de motiver sa décision. Il peut également notamment en raison de leur nombre et de leur caractère répétitif ou systématique. refuser la demande de portabilité ne pas répondre aux demandes manifestement abusives

Le responsable du traitement doit permettre à la personne concernée de à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. s'opposer à la réutilisation de ses données

Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante.

Le droit d'opposition peut être exercé par la personne le traitement est justifié par un (ex : traitement mis en œuvre à des fins de prévention de la fraude ou visant à garantir la sécurité du réseau et des informations). seulement si intérêt légitime

Au contraire, si le traitement est justifié parce que la personne concernée a donné son consentement, celle-ci devra exercer son droit au retrait du consentement et pas son droit d'opposition.

L’obligation de tenir un registre des traitements ne s'applique pas à toutes les entreprises, il est nécessaire de se référer à leur taille.

Le registre doit mis en œuvre par l'entreprise. recenser l'ensemble des traitements

En pratique, une fiche de registre doit être établie pour chaque traitement. Chaque fiche de registre doit contenir les : éléments suivants

• Identité du responsable de traitement, du délégué à la protection des données et des sous-traitants

• Catégories de personnes concernées (ex : client, prospect, employé)

• Catégories de données traitées (ex : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation)

• Finalités du traitement, c'est-à-dire l’objectif en vue duquel ces données ont été collectées

• Destinataires des données, c'est-à-dire ceux à qui les données ont été ou seront communiquées, y compris les sous-traitants

• Durée de conservation des données, ou à défaut les critères permettant de la déterminer

• Description générale des mesures de sécurité des données

• Le cas échéant, transfert des données vers un pays hors de l'. UE

Le RGPD impose uniquement que . Le format du registre est libre et peut être constitué au format papier ou électronique. le registre se présente sous une forme écrite

La CNIL met à disposition des . modèles de registre de traitement

Le responsable du traitement doit de données personnelles (automatisés ou non) sur lesquels ces traitements reposent, c'est-à-dire : recenser les traitements et les supports

• les matériels (ex. : serveurs, ordinateurs portables, disques durs)

• les logiciels (ex. : systèmes d’exploitation, logiciels métier)

• les canaux de communication logiques ou physiques (ex. : fibre optique, Wi-Fi, Internet, échanges verbaux, coursiers)

• les supports papier (ex. : documents imprimés, photocopies)

• les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).

Ce recensement permet d' engendrés par chaque traitement, notamment : apprécier les risques

• (ex : usurpation d’identité consécutive à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) Accès illégitime à des données

• (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) Modification non désirée de données

• (ex : non-détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient). Disparition de données

Le responsable du traitement doit identifier les en prenant en compte des sources humaines (ex : administrateur informatique, utilisateur, attaquant externe, concurrent) et non humaines (ex : eau, épidémie, matériaux dangereux, virus informatique non ciblé). sources de risques

Il doit également (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale) pour ainsi à même de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation). estimer la gravité et la vraisemblance des risques déterminer les mesures

Le responsable du traitement doit les sur les enjeux en matière de sécurité et de vie privée. Pour ce faire, il peut organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les personnes selon leurs fonctions, faire des rappels par messagerie électronique, etc. sensibiliser utilisateurs

Le responsable doit les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données personnelles, qu’il s’agisse d’une opération d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer. documenter les procédures d’exploitation,

De plus, il doit , annexée au , comportant les informations suivantes : rédiger une charte informatique règlement intérieur

• Règles de protection des données et sanctions encourues en cas de manquement

• Champ d'application de la charte (ex : modalités d'intervention des équipes chargées de la gestion des données, moyens d'authentification, règles de sécurité)

• Modalités d’utilisation des moyens informatiques mis à disposition (poste de travail, espace de stockage, accès à internet, messagerie électronique...)

• Conditions d’administration du système d’information

• Responsabilités et sanctions encourues en cas de non respect de la charte.

Modèle d'engagement de confidentialité sur les données

Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée « la Société »), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare

reconnaître la confidentialité desdites données.

Je m’engage par conséquent, conformément à l’article 32 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions

afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.

Je m’engage en particulier à :

• ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;

• ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;

• ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;

• prendre toutes les mesures conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;

• prendre toutes précautions conformes à l’état de l’art et aux règles internes pour préserver la sécurité physique et logique de ces données ;

• m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;

• en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée, après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation

et la communication de données à caractère personnel.

J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la règlementation en vigueur, notamment au regard des articles 226-13 et 226-16 à 226-24 du code pénal.

Fait à _____, le jj/mm/aaaa, en X exemplaires

Nom :

Signature :

Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un et doit avant toute utilisation des moyens informatiques. identifiant qui lui est propre s’authentifier

Une précaution indispensable consiste à et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, il est nécessaire de mettre œuvre les mesures suviantes : définir un identifiant unique par utilisateur

• Exiger une validation de la hiérarchie

• Mettre en œuvre des moyens pour tracer les actions associées à ces identifiants

• Renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.

Le responsable du traitement doit afin de limiter leur accès aux seules données dont ils ont besoin pour l’accomplissement de leurs missions. gérer l'habilitation des utilisateurs

Le responsable est d'abord amené à dans les systèmes en séparant les tâches et les domaines de responsabilité et par un responsable (ex : supérieur hiérarchique, chef de projet). définir des profils d’habilitation faire valider toute demande d’habilitation

Il est impératif de des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique (ex : changement de mission ou de poste), ainsi qu’à la fin de leur contrat. supprimer les permissions d’accès

Le responsable du traitement doit également afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité). tracer les opérations

Pour ce faire, il est nécessaire de mettre en place , c’est-à-dire un enregistrement des activités métier des utilisateurs, des interventions techniques (y compris par les administrateurs), des anomalies et des événements liés à la sécurité. un système de journalisation

Le responsable du traitement doit s’assurer que les gestionnaires de l'enregistrement des opérations lui notifient toute anomalie ou tout incident de sécurité, dans les plus brefs délais.

Les risques d’intrusion dans les systèmes informatiques sont importants. Le responsable du traitement doit qui constituent un des principaux points d’entrée. protéger les postes de travail

Afin de prévenir les accès frauduleux, l’exécution de virus ou les prises de contrôle malveillantes à distance, le responsable du traitement doit prendre les : précautions suivantes

• Prévoir un mécanisme de en cas de non-utilisation du poste pendant un temps donné verrouillage automatique de session

• Installer un (« firewall ») logiciel sur le poste et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail « pare-feu »

• Utiliser des et prévoir une politique de antivirus régulièrement mis à jour mise à jour régulière des logiciels

• Effacer de façon sécurisée les données présentes sur un poste à une autre personne. avant sa réaffectation

Les pratiques de travail hors des locaux (ex : déplacements, télétravail) comportent des risques spécifiques liés à l’usage d’ordinateurs portables, de clés USB ou encore de smartphones. Il est donc indispensable d'anticiper l’atteinte à la sécurité des données . à l'extérieur des locaux

Le responsable du traitement doit aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (ex : vol de matériel, risques liés à la connexion aux réseaux publics) et à authentification forte. sensibiliser les utilisateurs imposer l'utilisation d'un VPN

Il est également recommandé de des postes nomades et des supports de stockage mobiles (ex : ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW), tels que : prévoir des moyens de chiffrement

• Le chiffrement du disque dur (de nombreux systèmes d'exploitation intègrent une telle fonctionnalité)

• Le chiffrement fichier par fichier

• La création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés.

Le responsable du traitement doit pour limiter l’impact d’une disparition ou d'une altération non désirée de données. Il est également recommandé de stocker au moins une et d'isoler une , déconnectée du réseau de l'entreprise. effectuer des sauvegardes régulières sauvegarde sur un site extérieur sauvegarde hors ligne

Par ailleurs, le responsable doit mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de litige. archiver les données qui ne sont plus utilisées au quotidien

Pour ce faire, il doit définir un processus de gestion des archives qui appelent plusieurs questions, notamment :

• Quelles données doivent être archivées ?

• Comment et où sont-elles stockées ?

• Quelles sont les modalités d’accès spécifiques aux données archivées ? (l’utilisation d’une archive doit intervenir de manière ponctuelle et exceptionnelle)

• S’agissant de la destruction des archives, quel mode opératoire faut-il choisir pour garantir que l’intégralité d’une archive a été détruite ?

Les traitements de données réalisés par un sous-traitant pour le compte du responsable de traitement doivent bénéficier de garanties suffisantes, notamment en matière de sécurité.

Il est impératif de faire appel uniquement à des , notamment en termes de connaissances spécialisées, de fiabilité et de ressources. Le responsable doit exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information et de ses éventuelles certifications. sous-traitants présentant des garanties suffisantes

Un contrat de sous-traitance doit définir l’objet, la durée, la finalité du traitement ainsi que les obligations des parties, notamment en termes de sécurité des traitements. Il doit contenir des dispositions fixant les éléments suivants :

• Répartition des responsabilités et des obligations en matière de confiées confidentialité des données personnelles

• des utilisateurs Contraintes minimales en matière d’authentification

• en fin du contrat Conditions de restitution et de destruction des données

• . Celles-ci doit comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité. Règles de gestion et de notification des incidents

Les mesures permettant de garantir la sécurité des données étant nombreuses, il est opportun d' de l'entreprise. La CNIL met à disposition une . évaluer le niveau de sécurité des données personnelles grille d'évaluation

Les mesures techniques et organisationnelles mises en œuvre par le responsable de traitement doivent être , compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (dont le degré de probabilité et de gravité varie) pour les droits et libertés des personnes. appropriées

En cas de violation de données (ex : divulgation non autorisée, accès irrégulier), le responsable de traitement doit être qu'il a pris les mesures de sécurité adéquates. en mesure de prouver

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant les : mentions obligatoires suivantes

• Objet du contrat, c'est-à-dire l'activité du sous-traitant (ex : hébergement de données, routage d'emails, maintenance)

• Nature, finalité et durée du traitement

• Type de données personnelles collectées et catégories de personnes concernées

• Obligations et droits du responsable du traitement

• Obligations et droits du sous-traitant.

Pour faciliter la rédaction de ce contrat, les parties peuvent y insérer certaines rédigées par la Commission européenne. Elles fournissent un support utile pour encadrer la sous-traitance conformément aux exigences du RGPD. clauses contractuelles types (CCT)

Le sous-traitant doit respecter les : obligations suivantes

• Assurer un niveau de sécurité suffisant au regard de la nature des données traitées

• Conseiller le responsable de traitement (ex : l'alerter s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable)

• Aider le responsable de traitement à garantir les droits des personnes (accès, rectification, effacement, portabilité)

• Formaliser à l'écrit les instructions délivrées par le responsable de traitement

• Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement

• Tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits

• Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité.

Registre tenu par le sous-traitant

Le sous-traitant doit , recensant toutes les catégories d'activité de traitement effectuées pour le compte de ses clients (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale). tenir son propre registre

En pratique, une fiche de registre doit être établie pour chacune de ces catégories d’activités. Chaque fiche de registre doit contenir les : éléments suivants

• Identité du sous-traitant, de son représentant en cas d'établissement hors UE, de son délégué à la protection de données ainsi que les sous-traitants auxquels il a lui-même recours

• Catégories de traitements effectués pour le compte de chacun de ses clients, c’est-à-dire les opérations effectivement réalisées pour leur compte. Par exemple, pour la catégorie « », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.) service d’envoi de messages de prospection

• Description générale des mesures de sécurité des données

• Le cas échéant, transfert des données vers un pays hors de l'. UE

Le sous-traitant doit du responsable de traitement avant de recruter un autre sous-traitant. Cette autorisation peut être donnée au sous-traitant pour chaque nouveau sous-traitant, ou avoir une . obtenir l'autorisation écrite au cas par cas portée générale

La CNIL recommande de préciser dans le contrat laquelle de ces 2 modalités d’autorisation est choisie par les parties.

Si l’autorisation a une portée générale, le sous-traitant doit communiquer au responsable de traitement de la , ainsi que tout ajout ou remplacement dans cette liste pour lui permettre de s'y opposer s’il le souhaite. Dans ce cas, la Cnil recommande de formaliser les modalités d’information du responsable de traitement et, éventuellement, les critères du choix de ces sous-traitants. liste de ses sous-traitants ultérieurs

La désignation d’un DPO par l'entreprise est dans : obligatoire les 2 cas suivants

• Les activités principales de l'entreprise ou du sous-traitant impliquent un des personnes concernées par les opérations de traitement (ex : géolocalisation, vidéosurveillance, traitement des échanges bancaires). suivi régulier et systématique à grande échelle

• Les activités principales de l'entreprise ou du sous-traitant impliquent un ou relatives à des condamnations pénales. traitement à grande échelle de

La notion de traitement « » s'analyse au cas par cas, en fonction du nombre de personnes concernées, du volume et de l'éventail des différentes données collectées, de la durée de l'activité de traitement et de la répartition géographique de l'activité de traitement. à grande échelle

Les missions du délégué à la protection des données sont les suivantes :

• le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent Informer et conseiller

• le respect du RGPD et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement Contrôler

• , sur demande, sur un sujet précis en lien avec le traitement des données personnelles Dispenser des conseils et recommandations

• et faire office de point de contact sur les questions relatives au traitement. Coopérer avec la

Le responsable de traitement peut désigner un DPO ou un proposant ses services de DPO. Il doit s’assurer que le DPO dispose de du droit et des pratiques en matière de protection des données. Il doit prendre en compte les formations suivies par la personne pressentie, ainsi que son et sa connaissance du secteur. en interne prestataire externe connaissances spécialisées expérience

La a mis en place une des compétences du DPO. La procédure n'est mais permet au DPO l'ayant suivie de justifier qu'il répond aux exigences de compétences. Les certifications sont délivrées par des organismes certificateurs agréés par la CNIL. Cnil procédure de certification pas obligatoire

Lorsqu'il a choisi le DPO de l'entreprise, le responsable de traitement doit remplir le pour en informer la CNIL. formulaire de désignation en ligne

Le responsable du traitement doit permettre au DPO d’exercer ses missions de contrôle, de conseil et de point de contact . L'indépendance doit être garantie de la manière suivante : en toute indépendance

• Le DPO ne doit pas être en situation de conflit d’intérêts en cas de cumul de sa fonction de DPO avec une autre fonction. Par exemple, il y a conflit d'intérêts lorsque le DPO se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.

• Le DPO doit pouvoir rendre compte de son action au plus haut niveau de la direction de l'entreprise

• Le DPO ne pas être sanctionné pour l'exercice de ses missions de DPO

• Le DPO ne doit pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.

De plus, le DPO doit disposer du temps suffisant ainsi que des pour exercer sa mission. Il doit bénéficier du soutien actif de la direction et être impliquant des données personnelles. moyens matériels et humains adéquats associé en amont à tous les projets

Une entreprise qui ne désigne pas DPO lorsque cette désignation est obligatoire s’expose aux : sanctions de la Cnil

• Rappel à l’ordre

• Injonction à se mettre en conformité

• Amende administrative pouvant s’élever jusqu’à ou mondial de l’exercice précédent, le montant le plus élevé étant retenu. 10 millions d’euros 2 % du chiffre d’affaires annuel

La réalisation d'une analyse d'impact est lorsque le traitement de données présente un des personnes concernées, c'est-à-dire : obligatoire risque élevé pour les droits et libertés

• Soit le traitement figure dans la pour lesquels la CNIL a estimé obligatoire de réaliser une analyse d’impact. liste des traitements

• Soit le traitement remplit au moins : 2 des critères suivants

  • évaluation/scoring (y compris le profilage)

  • décision automatique avec effet légal ou similaire

  • surveillance systématique

  • collecte de données sensibles

  • collecte de données personnelles à large échelle

  • croisement de données

  • personnes vulnérables (patients, personnes âgées, enfants, etc.)

  • usage innovant (utilisation d’une nouvelle technologie)

  • exclusion du bénéfice d’un droit/contrat.

L'AIPD doit être menée . Elle doit être démarrée le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement. avant la mise en œuvre du traitement

L'analyse d'impact doit contenir au minimum les : informations suivantes

• systématique des envisagées et les du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement Description opérations de traitement finalités

• et de la des opérations de traitement au regard des finalités Évaluation de la nécessité proportionnalité

• sur les droits et libertés des personnes concernées Évaluation des risques

• pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données personnelles et à apporter la preuve du respect du règlement. Mesures envisagées

Le responsable du traitement doit ensuite au moyen du service en ligne suivant : transmettre l'analyse d'impact à la Cnil

Une entreprise qui ne réalise pas d'analyse d'impact s’expose aux : sanctions de la Cnil

• Rappel à l’ordre

• Injonction à se mettre en conformité

• Amende administrative pouvant s’élever jusqu’à ou mondial de l’exercice précédent, le montant le plus élevé étant retenu. 10 millions d’euros 2 % du chiffre d’affaires annuel

Pour qu'un transfert de données hors de l'UE soit autorisé, le pays recevant les données doit faire l'objet d'une . décision d'adéquation

Il s'agit d'une décision adoptée par la Commission européenne qui établit qu’un pays tier présente un des données personnelles. La Commission évalue ce niveau de protection à partir d'éléments fixés par le RGPD (ex : la législation interne du pays, l’existence d’une autorité de contrôle indépendante en matière de protection des données et les engagements internationaux pris par le pays). niveau de protection adéquat

La décision d’adéquation a pour effet de permettre le transfert de données vers le pays concerné, . sans exigences supplémentaires

En l’absence de décision d'adéquation, le responsable de traitement doit mettre en place des « » avant de transférer les données hors de l'UE. Il peut s'agir des garanties suivantes : garanties appropriées

• Conclure un contrat incluant des de la Commission européenne. Ces clauses fournissent un support utile pour encadrer le transfert hors UE, conformément aux exigences du RGPD. clauses contractuelles types (CCT)

• Établir des ( en anglais). Pour les multinationales effectuant de nombreux transfert de données, ces règles désignent une politique de protection des données intra-groupe permettant d’unifier les garanties concernant les traitements de données personnelles offertes par leurs filiales dans le monde entier. règles d'entreprise contraignantes Binding Corporate Rules (BCR)

• Adhérer à un . Le code est un outil mis en place par une organisation représentative d’un secteur d’activité. Il met en lumière les bonnes pratiques du secteur avec, par exemple, des mentions d’information type, des modèles de clauses contractuelles ou des préconisations en matière de mesures de sécurité, dans un vocabulaire adapté au secteur. Le code est juridiquement contraignant pour ses adhérents. code de conduite

En l’absence de décision d'adéquation ou de garanties appropriées, le transfert peut être réalisé , dans des situations particulières : par dérogation

• La personne concernée a donné son au transfert envisagé, consentement explicite après avoir été informée des risques que ce transfert pouvait comporter pour elle

• Le transfert est entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande nécessaire à l'exécution d'un contrat

• Le transfert est entre le responsable du traitement et une autre personne physique ou morale nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée

• Le transfert est nécessaire pour des motifs importants d'intérêt public

• Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice

• Le transfert est , lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes

• Le transfert a lieu qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime. au départ d'un registre

Transfert hors UE lorsqu'aucune situation particulière n'est applicable

Lorsqu'aucune de ces situations n'est applicable, un transfert vers un pays tier est tout de même autorisé : si les conditions suivantes sont respectées

• Le transfert n'a pas un caractère répétitif et ne touche qu'un nombre limité de personnes concernées

• Le transfert est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée

• Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données personnelles.