Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show
GUIDE PRATIOUE DE
Send me updates from Scribd
Sign Up
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
SENSIBILISATION AU RGPD
POUR LES PETITES ET MOYENNES ENTREPRISES LES GRANDES ÉTAPES POUR PROTÉGER LES DONNÉES PERSONNELLES DE VOTRE ENTREPRISE
Sign up to download Guide RGPD
Le guide pratique de sensibilisation Sign Up With Facebook au RGPD des petites et moyennes entreprises Sign Up With Google a uniquement pour or with email Name objectif de sensibiliser les PME à mettre en œuvre leursEmail propres dispositifs de protection des données, données , Password dont elles sont seules Show et entièrement responsables. (at least 6 characters)
Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
AVVANT A ANT-P -PRO ROPOS POS Les données sont omniprésentes et désormais au cœur de la chaîne de création de valeur des entreprises. Bien gérées et sécurisées, elles permettent de gagner en ecacité et en compétitivité, de personnaliser et de conforter la relation avec les clients, de conquérir de nouveaux
marchés, d’améliorer les produits et services et de faciliter la c ollaboration et la mobilité. Pour s’adapter aux enjeux du numérique et garantir une meilleure maîtrise des données personnelles, une nouvelle régulation européenne, le Règlement Général sur la Protection des Données (RGPD), entre en application le 25 mai 2018. Il renforce les droits des
personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données.
Si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants ! En eet, le crit ère à prendre en compte est le volume ou la sensibilité des données traitées et non pas la taille ou le nombre d’employés d’une entreprise.
PASSEZ À L’ACTION : RGPD
Ce règlement dans votre entreprise n’est donc pas obligatoirement un projet technique ou juridique, juridique , il s’agit avant tout de bon sens et d’organisation. Au- del à d u r esp ect de la règ lem ent ati on, le RGP D o ffre aus si des opportunités de nouveaux business et peut, en ce sens, constituer un projet d’entreprise et êt re créateur de valeur.
La CNIL, régulateur des données personnelles, et Bpifrance, qui accompagne le développement des entreprises, ont décidé d’unir leurs forces pour élaborer ce « Guide pratique de sensibilisation au RGPD » à destination des PME. Il vous propose des clés de compréhension pratiques pour engager au sein de votre entreprise, petite ou moyenne, une démarche de
conformité au RGPD, et faire progresser votre entreprise dans sa maturité numérique. Ce guide ne répondra pour autant pas nécessairement aux besoins spéciques de chaque entreprise, seul un aperçu des principales réexions à mener et actions à mettre en œuvre est abordé.
Bpifrance Le Lab
3
Toutes les entreprises, dont les TPE et PME, ont à traiter des données permettantt d’identier permettan d’identier des personne personnes s physiques. physiques.
À cet égard, le 25 25 mai 2018 2018 constitue une étape cruciale : la protection protection de ces informations est en eet renforcée avec l’entrée en application du « Règlement Général sur la Protection des Données » (RGPD).
Au-delà des des obligations igations légales légales à comprendre et à respecter respecter,, préparer préparer son entreprise à ce nouveau cadre européen représente une opportunité de sécurisation et de protection de ses données. La responsabilité accr ue d es en trepr ises dans la g esti on d e le urs d onné es, a lli ée
aux principes de transparence et de loyauté, constitue le fondement de la co nfia nce e ntre ac teurs économ iques et ci toyen s. C’est aussi un vecteur d’accélération de la maturité digitale de l’entreprise. Développer son activité en conformité avec le RGPD, c’est aussi (re)découvrir la richesse que constituent les données personnelles pour une entreprise. Leur valo risation, d ans une dé marche éth ique, permet à celle-ci de créer des services innovants, qui plus est de façon harmonisée sée pour pour l’ensemble ’ensemble du marché marché europé européen. en. Pour vous aider dans votre démarche de mise en œuvre, ce guide vous rappelle, de façon rappelle, façon simple, les es avantages avantages que vous pouvez pouvez en obtenir obtenir,, les principal es notions à connaître a insi que les actions ess entielles à engager engager..
Isabelle Falque-Pierrotin Falque-Pierrotin,, Présidente de la CNIL Nicolas Dufourcq, Directeur général Bpifrance
Le site de la CNIL dispose de nombreux contenus pour ceux qui souhaiteront accéder à une documentation plus technique et plus complète.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
5
Sign up to download Guide RGPD
Ce règlement dans votre entreprise Sign Up With Facebook n’est donc pas Sign Up With Google obligatoirement un projet or with email technique ou juridique, juridique , Name il s’agit avant tout de bon sens et d’organisation. Email Au- del à d u r esp ect de la règ lem ent ati on, le RGP D o ffre aus si des opportunités de nouveaux business et peut, en ce sens, constituer un projet d’entreprise et êt re créateur de valeur.
Toutes les entreprises, dont les TPE et PME, ont à traiter des données permettantt d’identier permettan d’identier des personne personnes s physiques. physiques.
À cet égard, le 25 25 mai 2018 2018 constitue une étape cruciale : la protection protection de ces informations est en eet renforcée avec l’entrée en application du « Règlement Général sur la Protection des Données » (RGPD).
Au-delà des des obligations igations légales légales à comprendre et à respecter respecter,, préparer préparer son entreprise à ce nouveau cadre européen représente une opportunité de sécurisation et de protection de ses données. La responsabilité accr ue d es en trepr ises dans la g esti on d e le urs d onné es, a lli ée
aux principes de transparence et de loyauté, constitue le fondement de la co nfia nce e ntre ac teurs économ iques et ci toyen s. C’est aussi un vecteur d’accélération de la maturité digitale de l’entreprise. Développer son activité en conformité avec le RGPD, c’est aussi (re)découvrir la richesse que constituent les données personnelles pour une entreprise. Leur valo risation, d ans une dé marche éth ique, permet à celle-ci de créer des services innovants, qui plus est de façon harmonisée sée pour pour l’ensemble ’ensemble du marché marché europé européen. en.
Password
La CNIL, régulateur des données personnelles, et Bpifrance, (at least 6 characters)
qui accompagne le développement des entreprises, ont décidé d’unir leurs forces pour élaborer ce « Guide pratique de sensibilisation au RGPD » à destination des PME.
Show
Il vous propose des clés de compréhension pratiques pour engager au sein de votre entreprise, petite ou moyenne, de Scribd Sendune me démarche updates from
Pour vous aider dans votre démarche de mise en œuvre, ce guide vous rappelle, de façon rappelle, façon simple, les es avantages avantages que vous pouvez pouvez en obtenir obtenir,, les principal es notions à connaître a insi que les actions ess entielles à engager engager..
conformité au RGPD, et faire progresser votre entreprise dans sa maturité
Isabelle Falque-Pierrotin Falque-Pierrotin,, Présidente de la CNIL
numérique. Ce guide ne répondra pour autant pas nécessairement aux besoins Sign Up spéciques de chaque entreprise, seul un aperçu des principales réexions à mener et actions à mettre en œuvre est abordé.
Nicolas Dufourcq, Directeur général Bpifrance
By contenus registering a Scribd account, you agree to our Le site de la CNIL dispose de nombreux pour ceux qui souhaiteront accéder à une documentation plus technique et plus Terms of Service and Privacy Policy complète.
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
AU AU SOM MAIRE
Bpifrance Le Lab
5
01.
POURQUOI CE NOUVEAU RÈGLEMENT ?
02.
QUELS SONT LES 6 AVANTAGES POUR VOTRE PME ?
14-- 21 14
03.
DONNÉES PERSONNELLES, TRAITEMENT DE DONNÉES : DE QUOI PARLE-T-ON ?
22-- 27 22
8 - 13
04. COMMENT PASSER À L’ACTION ?
28-- 43 28
05. LA SOUS-TRAITANCE
44-- 49 44
06.
TRAITEMENTS DE DONNÉES À RISQUE : ÊTES-VOUS CONCERNÉ ?
50-- 55 50
AU AU SOM MAIRE
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
01.
POURQUOI CE NOUVEAU RÈGLEMENT ?
02.
QUELS SONT LES 6 AVANTAGES POUR VOTRE PME ?
14-- 21 14
03.
DONNÉES PERSONNELLES, TRAITEMENT DE DONNÉES : DE QUOI PARLE-T-ON ?
22-- 27 22
04.
COMMENT PASSER À L’ACTION ?
28-- 43 28
05. LA SOUS-TRAITANCE
44-- 49 44
8 - 13
Password
(at least 6 characters)
Show Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
06.
TRAITEMENTS DE DONNÉES À RISQUE : ÊTES-VOUS CONCERNÉ ?
50-- 55 50
POUR OUOI CE NOUVEAU RÈGLEMENT ?
POUR OUOI
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show Send me updates from Scribd
CE NOUVEAU RÈGLEMENT ?
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
L’acronyme RGPD signifie signifi e : « Règlement Général sur la Protection des Données » (1). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…). Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française « Informatique et Libertés » Libertés » de 1978 et renforce le contrôle par
les citoyens de l’utilisation qui peut être faite des données les concern ant. Il harmonise les règles en Europe en orant un cadre juridique unique aux professionnels. Il permet de développer leurs activit és numériques au sein de l’Union européenne en se fondant sur la conance des utilisateurs.
Pour mettre n à une distorsion de concurrence désavantageant
parfois les entreprises européennes, les mêmes obligations sont imposées aux entreprises établies hors de l’Union européenne, dès lors qu’elles proposent des produits ou services aux résidents européens. Il n’existe pas d’exceptions à ces obligations pour les PME françaises. Toutefois, selon leur activité, elles seront plus ou moins concernées Toutefois, par cette législation. En eet, l’approche du RGPD est fondée sur la notion de gestion de risques, orant ainsi des marges de manœuvre pour dén ir des solutions sur mesure.
En tant qu’entrepren qu’entrepreneur eur,, ces nouvelles obligations vous inciteront notamment à plus de transparence dans vos relations avec vos interlocuteurs interlocu teurs : clients, salariés, prospects, fournisseurs, etc. Faire comprendre la manière dont vous utilisez leurs données personnelles et leur donner la possibilité de les maîtriser, renforcera renforcera la conance et favorisera donc votre activité, y compris à l’export.
(1)
En anglais « General Data Protection Regulation » ou GDPR.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
11
Sign up to download Guide RGPD
L’acronyme RGPD signifie signifi e : Sign Up With Facebook « Règlement Général sur la Protection Sign Up With Google des Données » (1). or with email
Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).
Name
Le RGPD encadre le traitement des Email données personnelles sur le territoire de l’Union Password européenne.
Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française « Informatique et Libertés » Libertés » de 1978 et renforce le contrôle par
les citoyens de l’utilisation qui peut être faite des données les concern ant. Il harmonise les règles en Europe en orant un cadre juridique unique aux professionnels. Il permet de développer leurs activit és numériques au sein de l’Union européenne en se fondant sur la conance des utilisateurs.
Pour mettre n à une distorsion de concurrence désavantageant
parfois les entreprises européennes, les mêmes obligations sont imposées
(at least 6 characters)
Show
Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
aux entreprises établies hors de l’Union européenne, dès lors qu’elles proposent des produits ou services aux résidents européens. Il n’existe pas d’exceptions à ces obligations pour les PME françaises. Toutefois, selon leur activité, elles seront plus ou moins concernées Toutefois, par cette législation. En eet, l’approche du RGPD est fondée sur la notion de gestion de risques, orant ainsi des marges de manœuvre pour dén ir des solutions sur mesure.
En tant qu’entrepren qu’entrepreneur eur,, ces nouvelles obligations vous inciteront notamment à plus de transparence dans vos relations avec vos interlocuteurs interlocu teurs : clients, salariés, prospects, fournisseurs, etc. Faire comprendre la manière dont vous utilisez leurs données personnelles et leur donner la possibilité de les maîtriser, renforcera renforcera la conance et favorisera donc votre activité, y compris à l’export.
Already have an account? Sign in
(1)
En anglais « General Data Protection Regulation » ou GDPR.
PASSEZ À L’ACTION : RGPD
RESPONSABILITÉ
Bpifrance Le Lab
11
QUI EST CONCERNÉ PAR LE RGPD ? Tout organisme quels que soient sa taille, son pays d’impla ntation
et son activité, peut être concerné. En eet, le RGPD s’applique à toute organisation, publique et privée,
RGPD
qui traite des données personnelles pour son compte ou non, dès lors : • qu’elle est établie sur le territoire de l’Union européenne ; • que son activité cible directement des résidents européens. Par exemple, une société établie en France, qui exporte l’ensemb le de ses produits en dehors de l’Union européenne doit respecter le RGPD. De même, une société établie en dehors de l’Union européenne, proposant un site de e-commerc e-commerce e en français livrant des produits en France doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ain si, si vou s t rai tez ou col lec tez des don née s p our le com pte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spéciques pour garantir la protection des données qui vous sont conées (voir chapître 5 « La sous-traitance », sous-traitance », page 44).
TRANSPARENCE CONFIANCE
À RETENIR Le RGDP met sur le même pied d’égalité les entreprises établies au sein sein de de l’Union l’Union europé européenne enne et celles celles basées hors d’Europ d’Europe e et met n à une distorsion de concurrence.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
13
Sign up to download Guide RGPD
Sign Up With Facebook RESPONSABILITÉ Sign Up With Google or with email Name
QUI EST CONCERNÉ PAR LE RGPD ?
Tout organisme quels que soient sa taille, son pays d’impla ntation
et son activité, peut être concerné. En eet, le RGPD s’applique à toute organisation, publique et privée,
qui traite des données personnelles pour son compte ou non, dès lors : • qu’elle est établie sur le territoire de l’Union européenne ; • que son activité cible directement des résidents européens.
Email
RGPD
Password
(at least 6 characters)
Show
Par exemple, une société établie en France, qui exporte l’ensemb le de ses produits en dehors de l’Union européenne doit respecter le RGPD. De même, une société établie en dehors de l’Union européenne, proposant un site de e-commerc e-commerce e en français livrant des produits en France doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.
Send me updates from Scribd
Ain si, si vou s t rai tez ou col lec tez des don née s p our le com pte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spéciques pour garantir la protection des données qui vous sont conées (voir chapître 5 « La sous-traitance », sous-traitance », page 44).
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
TRANSPARENCE CONFIANCE
Already have an account? Sign in
À RETENIR Le RGDP met sur le même pied d’égalité les entreprises établies au sein sein de de l’Union l’Union europé européenne enne et celles celles basées hors d’Europ d’Europe e et met n à une distorsion de concurrence.
PASSEZ À L’ACTION : RGPD
OUELS SONT
LES 6 AVVANT A ANTAG AGES ES POUR VOTRE PME ?
Bpifrance Le Lab
13
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
OUELS SONT
LES 6 AVVANT A ANTAG AGES ES POUR VOTRE PME ? Show
Send me updates from Scribd
Sign Up
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
Plus qu’une obligation légale, se conformer à la nouvelle réglementation sur la protection des données est une occasion de se questionner sur son approche de la data et de sa transformation numérique.
1. Renforcer la confiance Toute personne qui vous cone Toute cone ses données données personne personnelles lles établit avec vous une relation de conance et souhaite le respect de ses droits et de sa vie privée. Le RGPD réarme les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits : droits d’accès, de rectication, d’eacement, d’opposition, etc. Respecter ces droits contribue à
valoriser votre image d’entreprise sérieuse et responsable. Une opportunité de sceller une relation de conance avec vos interlocu teurs et d’améliorer votre image de marque !
2. Améliorer Améliorer votre efficacité efficacité commerciale commerciale Pour vendre vos produits ou vos services, vous avez besoin de prospecter, de connaître vos clients et de gérer la facturation. Pour cela, vous constituez des chiers concernant vos clients et prospects. Si le RGPD réaffirme le principe d’exactitude et de mise à jour des données enregistrées dans un chier, maintenir vos chiers à jour est surtout dans l’intérêt même du développement de votre chire d’aaires. En ayant une gestion rigoureuse de vos données, vous en ecacité et en productivité !
gagnez donc
Le RGPD constitue une opportunité économique pour votre entreprise.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
17
Sign up to download Guide RGPD
Plus qu’une obligation légale, se conformer Sign Up With Facebook à la nouvelle réglementation sur Sign Up With Google la protection des données or with email Name est une occasion de se questionner sur Email son approche de la data et de sa transformation numérique. Password
Renforcer la confiance 1. Toute personne qui vous cone Toute cone ses données données personne personnelles lles établit avec vous une relation de conance et souhaite le respect de ses droits et de sa vie privée. Le RGPD réarme les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits : droits d’accès, de rectication, d’eacement, d’opposition, etc. Respecter ces droits contribue à
valoriser votre image d’entreprise sérieuse et responsable. Une opportunité de sceller une relation de conance avec vos interlocu teurs et d’améliorer votre image de marque !
2. Améliorer Améliorer votre efficacité efficacité commerciale commerciale Pour vendre vos produits ou vos services, vous avez besoin de prospecter, de connaître vos clients et de gérer la facturation. Pour cela, vous constituez des chiers concernant vos clients et prospects. Si le RGPD réaffirme le principe d’exactitude et de mise à jour des données enregistrées dans un chier, maintenir vos chiers à jour est surtout dans l’intérêt même du développement de votre chire d’aaires. En ayant une gestion rigoureuse de vos données, vous en ecacité et en productivité !
gagnez donc
(at least 6 characters)
Le RGPD constitue une opportunité économique pour votre entreprise.
Show
Send me updates from Scribd
Sign Up
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
3. Mieux gérer votre entreprise Avec le temps temps et le développem développement ent de votre votre entreprise, entreprise, votre volume de données augmente et nécessite de mobiliser de plus en plus de moyens humains et techniques (espace de stockage, logiciels adaptés, etc.) pour les gérer, les mettre à jour, et en assurer la sécurité. Le principe de « minimisation » des données (« Je ne collecte que les données dont j’ai vraiment besoin ») et l’obligation de tenir à jour la liste de vos chiers vous permettent de faire le point sur les données que vous collectez et d’identier vos besoins réels. Le RGPD exige par ailleurs que les données soient pertinentes par rapport à l’objectif pour lequel vous collectez les données. Ap pl iq uer ces pri nci pe s vo us pe rm et do nc d’ optimiser
vos
investissements. L’arrivée du RGPD est ainsi une occasion forte de se poser les bonnes questions sur son activité et ses process (comme cela a été par exemple le cas lors du passage du papier à la dématérialisation).
4. Améliorer la sécurité sécurité des données de de votre entreprise L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir
des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose en préalable à la sécurité des données. Au même titre que que vous protégez protégez le nom de votre votre PME ou son logo, logo, vitaux pour le fonctionnement de votre entreprise, les données
personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques. Protéger son patrimoine informationnel et protéger les personnes concernées des atteintes à leurs données, c’est donner à son entreprise des moyens de se développer sereinement.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
19
17
3. Mieux gérer votre entreprise
Sign up to download Guide Avec le temps temps et le développem développement ent de votre votre entreprise, entreprise, votre volume de données augmente et nécessite de mobiliser de plus en plus RGPD de moyens humains et techniques (espace de stockage, logiciels adaptés, etc.) pour les gérer, les mettre à jour, et en assurer la sécurité.
Le principe de « minimisation » des données (« Je ne collecte que les
Sign Up With Facebookdonnées dont j’ai vraiment besoin ») et l’obligation de tenir à jour la liste
de vos chiers vous permettent de faire le point sur les données que vous collectez et d’identier vos besoins réels.
Sign Up With Google or with email Name
Le RGPD exige par ailleurs que les données soient pertinentes par rapport à l’objectif pour lequel vous collectez les données. Ap pl iq uer ces pri nci pe s vo us pe rm et do nc d’ optimiser
vos
investissements. L’arrivée du RGPD est ainsi une occasion forte de se poser les bonnes questions sur son activité et ses process (comme cela a été par exemple le cas lors du passage du papier à la dématérialisation).
4. Améliorer la sécurité sécurité des données de de votre entreprise
Email
L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir
des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose en préalable à la sécurité des données.
Password
(at least 6 characters)
Au même titre que que vous protégez protégez le nom de votre votre PME ou son logo, logo, vitaux pour le fonctionnement de votre entreprise, les données
personnelles doivent faire l’objet de mesures de sécurité
particulières, informatiques et physiques. Show
Send me updates from Scribd
Protéger son patrimoine informationnel et protéger les personnes concernées des atteintes à leurs données, c’est donner à son entreprise des moyens de se développer sereinement.
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
19
RGPD
5. Rassurer vos clients et donneurs d’ordre
et ainsi développer votre activité
Dans tous les secteurs d’activité, les donneurs d’ordre seront très attentifs à la mise en œuvre du RGPD par leurs prestataires.
LES 6 AVVAN A ANTTAG AGES ES
Il s’agit donc d’un sujet crucial pour les sous-traitants qui traitent des données personnelles pour le compte d’entreprises, à la fois pour maintenir leurs relations commerciales existantes mais également pour éventuellement en conquérir de nouvelles. Si vous respectez le RGPD, vous aurez un
Bpifrance Le Lab
avantage concurrentiel !
6. Créer de nouveaux services Le RGPD introduit aussi de nouveaux concept s pouvant se traduire en nouveaux services (exemple : la portabilité des données). Le développement et l’organisation de ces nouveaux outils et services représentent de véritables dés et de nouvelles opportunités économiques (exemple : sur les plateformes en ligne pour la musique, les vidéos, l’utilisateur pourrait à terme faire exporter ses choix, ses lis tes de préférences, etc.). L’utilisateur nal pourrait fortement gagner en termes d’expérience, ces éléments entreront alors dans sa décision d’achat !
POUR ALLER PLUS LOIN : « Guide Bpifrance Digitalisation des PME » »
1
Renforcer
2
Améliorer
3
Mieux gérer
4 À RETENIR La mise en conformité au RGPD peut parfois être complexe, même si cela sera sera rarement rarement le cas cas pour pour une une PME. PME. Soyez vigilants : certains acteurs peu scrupuleux protent du
RGPD pour proposer des prestations excessivement coûteuses ou générer des appels surtaxés. Renseignez-vous sur leurs
5
compétences et références avant d’entrer en relations d’aaires. Et au préalable, commencez par la l ecture de ce guide ! Il vous
sensibilisera et vous donnera les premiers éléments de langage pour échange échangerr avec avec vos éventuels prestata prestataires. ires.
6
la confiance
votre efficacité commerciale votre entreprise
Améliorer
la sécurité des données de votre entreprise
Rassurer
vos clients et donneurs d’ordre et ainsi développer votre activité
Créer
de nouveaux services PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
21
5. Rassurer vos clients et donneurs d’ordre Sign
up to download Guide et ainsi développer votre activité RGPD Dans tous les secteurs d’activité, les donneurs d’ordre seront très
RGPD
attentifs à la mise en œuvre du RGPD par leurs prestataires.
Il s’agit donc d’un sujet crucial pour les sous-traitants qui traitent Sign Updes With données personnelles pour le compte d’entreprises, à la fois pour maintenir leurs relations commerciales existantes mais également pour éventuellement en conquérir de nouvelles. Si vous respectez le RGPD, vous aurez un
LES 6 AVVAN A ANTTAG AGES ES
Facebook
Sign Up With Google
avantage concurrentiel !
or with email
6. Créer de nouveaux services
Names pouvant se traduire en Le RGPD introduit aussi de nouveaux concept nouveaux services (exemple : la portabilité des données). Le développement et l’organisation de ces nouveaux outils et services représentent de véritables dés et de nouvelles opportunités économiques (exemple : sur les plateformes en ligneEmail pour la musique, les vidéos, l’utilisateur pourrait à terme faire exporter ses choix, ses lis tes de préférences, etc.). L’utilisateur nal pourrait fortement gagner en termes d’expérience, ces éléments entreront alors dans sa décision d’achat !
POUR ALLER PLUS LOIN : Password des PME « Guide Bpifrance Digitalisation » » (at least 6 characters)
Show
1
Renforcer
2
Améliorer
3
Mieux gérer
Send me updates from Scribd
Sign Up
4
À RETENIR Byparfois registering a Scribd account, you agree to our La mise en conformité au RGPD peut être complexe, même si cela sera sera rarement rarement le cas cas pour pour une une Terms PME. of Service and Privacy Policy PME. Soyez vigilants : certains acteurs peu scrupuleux protent du
RGPD pour proposer des prestations excessivement coûteuses ou générer des appels surtaxés. Renseignez-vous sur leurs
5
have an account? Sign in compétences et références avant d’entrer en Already relations d’aaires. Et au préalable, commencez par la l ecture de ce guide ! Il vous
sensibilisera et vous donnera les premiers éléments de langage pour échange échangerr avec avec vos éventuels prestata prestataires. ires.
6
la confiance
votre efficacité commerciale votre entreprise
Améliorer
la sécurité des données de votre entreprise
Rassurer
vos clients et donneurs d’ordre et ainsi développer votre activité
Créer
de nouveaux services PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
DONNEES PERSONNELLES, TRAITEMENT DE DONNEES : DE QUOI PARLE-T-ON ?
21
DONNEES PERSONNELLES, TRAITEMENT DE DONNEES :
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show Send me updates from Scribd
DE QUOI PARLE-T-ON ?
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
QU’EST-CE QU’UNE DONNÉE PERSONNELLE ? Une « donnée personnelle » est « toute information se rapportant à une personne physique identiée ou identiable ».
Une personne peut être identiée :
• directement (exemple : nom, prénom) ; • indirectement (exemple : par un identiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spéciques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image). L’identication d’une personne physique peut être réalisée :
• à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN) ;
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).
EXEMPLE Une base marketing contenant de nombreuses informations
précises sur la localis localisation, ation, l’âge, les goûts et les comporte comportements ments d’achats de consommateurs, y compris si leur nom n’est pas stocké, est considérée comme un traitement de données personn elles, dès lors qu’il e st possi ble de r emonter à une
personne perso nne phys physique ique déter déterminée minée en se basan basantt sur ces infor informatio mations. ns.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
25
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
QU’EST-CE QU’UNE DONNÉE PERSONNELLE ?
Une « donnée personnelle » est « toute information se rapportant à une personne physique identiée ou identiable ».
Une personne peut être identiée :
• directement (exemple : nom, prénom) ;
Email
• indirectement (exemple : par un identiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spéciques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
Password
L’identication d’une personne physique peut être réalisée :
(at least 6 characters)
• à partir d’une seule donnée (exemple : numéro de sécurité sociale,
Show
ADN) ;
• à partir du croisement d’un ensemble de données (exemple :
Send me updates from Scribd
une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
EXEMPLE Une base marketing contenant de nombreuses informations
Already have an account? Sign in
précises sur la localis localisation, ation, l’âge, les goûts et les comporte comportements ments d’achats de consommateurs, y compris si leur nom n’est pas stocké, est considérée comme un traitement de données personn elles, dès lors qu’il e st possi ble de r emonter à une
personne perso nne phys physique ique déter déterminée minée en se basan basantt sur ces infor informatio mations. ns.
PASSEZ À L’ACTION : RGPD
QU’EST-CE QU’UN TRAITEMENT DE DONNÉES PERSONNELLES ?
Bpifrance Le Lab
25
Un traitement de données doit avoir un objectif, une nalité, c’est-à-dire que vous ne pouvez pas collecter ou traiter des données personnelles
simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit
le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modication, extraction, consultation, utilisation, communication par transmission diusion ou toute autre forme de mise à disposition, rapprochement).
EXEMPLES DE TRAITEMENT Tenue d’un chier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un chier de fournisseurs, fournisseur s, etc.
Par contre, un chier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale,
EXEMPLE
le numéro de téléphone de son standard et un email de contact générique «
[email protected] ») n’est pas un traitement de données personnelles.
Vous collectez sur vos clients de nombreuses informations, lorsque vous eectuez une livr aison, éditez une facture ou, proposezz une carte propose carte de délité. délité. Toutes Toutes ces opération opérations s sur ces
nécessairement ment Un traitement de données personnelles n’est pas nécessaire informatisé : les chiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
ayant pour objectif la gestion gestion de votre votre clientèle.
données constituent votre traitement de données personnelles
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
27
Sign up to download Guide RGPD
QU’EST-CE QU’UN TRAITEMENT DE DONNÉES PERSONNELLES ?
traitement de données doit avoir un objectif, une nalité, c’est-à-dire Un que vous ne pouvez pas collecter ou traiter des données personnelles simplement au cas où cela vous serait utile un jour. À chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de votre activité professionnelle.
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit
le procédé utilisé (collecte, enregistrement, organisation, conservation,
Password
adaptation, modication, extraction, consultation, utilisation, communication (atforme leastde6 mise characters) par transmission diusion ou toute autre à disposition, rapprochement).
Show
Send me updates from Scribd
EXEMPLES DE TRAITEMENT
Sign Up
Tenue d’un chier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un chier de account, you agree to our By registering a Scribd fournisseurs, fournisseur s, etc.
Terms of Service and Privacy Policy
Alreadyd’entreprises have an account? Sign in Par contre, un chier ne contenant que des coordonnées (par exemple, entreprise « Compagnie A » avec son adresse postale,
EXEMPLE
le numéro de téléphone de son standard et un email de contact générique «
[email protected] ») n’est pas un traitement de données personnelles.
Vous collectez sur vos clients de nombreuses informations, lorsque vous eectuez une livr aison, éditez une facture ou, proposezz une carte propose carte de délité. délité. Toutes Toutes ces opération opérations s sur ces
nécessairement ment Un traitement de données personnelles n’est pas nécessaire informatisé : les chiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
ayant pour objectif la gestion gestion de votre votre clientèle.
données constituent votre traitement de données personnelles
PASSEZ À L’ACTION : RGPD
COM MENT
Bpifrance Le Lab
PASSER À L’A ’ACTI CTION ON ?
27
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show
COM MENT
Send me updates from Scribd
PASSER À L’A ’ACTI CTION ON ?
Sign Up
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
Voici
les 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces.
1. RECENSEZ
VOS FICHIERS Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.
Identiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recruteme recrutement, nt, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).
Appuyez-vous su surr le modèle de registre proposé par la CNIL sur son site internet. Dans votre registre, créez une che pour chaque activité recensée, en précisant : • l’objectif poursuivi (la nalité - exemple : la délisation client) ; • les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
• qui a accès aux données (le destinataire - exemple : service chargé
du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive). Le registre est placé sous la responsabilité du dirigeant de l’ entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en
contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles. Vous n’avez pas en revanc Vous revanche he à mentionn mentionner er au registr registre e les traitements purement occasionnels (exemple : chier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).
En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
31
Voici
Sign up to download Guide RGPD
les 4 actions principales
Sign Up With Facebook
1. RECENSEZ
VOS FICHIERS
Sign Up With Google Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.
à mener pour entameror with email Name votre mise en conformité aux règles de protection des données. Email Ces actions doivent Password perdurer dans le temps pour être efficaces.
Identiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recruteme recrutement, nt, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).
Appuyez-vous su surr le modèle de registre proposé par la CNIL sur son site internet. Dans votre registre, créez une che pour chaque activité recensée, en précisant : • l’objectif poursuivi (la nalité - exemple : la délisation client) ; • les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
(at least 6 characters)
• qui a accès aux données (le destinataire - exemple : service chargé
Show
Send me updates from Scribd
Sign Up
du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive). Le registre est placé sous la responsabilité du dirigeant de l’ entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en
contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.
By registering a Scribd account, you agree to our Vou Vous s n’avez pas en revanc revanche he à mentionn mentionner er au registr registre e les traitements purement occasionnels (exemple : chier constitué pour une opération Terms of Service and Privacy Policy événementielle ponctuelle comme l’inauguration d’une boutique).
Already have an account? Sign in
En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.
PASSEZ À L’ACTION : RGPD
La constitution du registre vous permet de vous interroger sur les données dont votre entreprise a réellement besoin.
Bpifrance Le Lab
31
2. FAITES
LE TRI TRI DANS VOS DONNÉES Pour chaque che de registre créée, vériez :
• que les données que vous traitez sont nécessaires à vos activités
(par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’orez aucun service ou rémunération attachée à cette caractéristique) ;
• que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (voir chapître 6 « Traitements de données à risque : êtes-vous concerné ? », ? », page 50) ;
• que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
• que vous ne conservez pas vos données au-delà de ce qui est nécessaire.
À cette occasion, occasion, améliorez améliorez vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redénissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’eacement ou d’archivage au bout d’une certaine durée dans vos applications.
BONNE PRATIQUE Échanger avec d’autres entrepreneurs d’entreprises d’entreprises comparables ou consulter votre fédération professionnelle vous aidera à mieux appréhender appréhe nder la mise en œuvre œuvre du RGPD. RGPD.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
33
Sign up to download Guide RGPD
La constitution du registre vous permet de vous interroger Sign Up With Facebook sur les données Sign Up With Google dont votre entreprise or with email Name a réellement besoin.
2. FAITES
LE TRI TRI DANS VOS DONNÉES Pour chaque che de registre créée, vériez :
• que les données que vous traitez sont nécessaires à vos activités
(par exemple, il n’est pas utile de savoir si vos salariés ont des enfants, si vous n’orez aucun service ou rémunération attachée à cette caractéristique) ;
Email
• que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter (voir chapître 6 « Traitements de données à risque : êtes-vous concerné ? », ? », page 50) ;
• que seules les personnes habilitées ont accès aux données dont
Password
elles ont besoin ;
(at least 6 characters)
• que vous ne conservez pas vos données au-delà de ce qui est nécessaire.
Show Send me updates from Scribd
Sign Up
À cette occasion, occasion, améliorez améliorez vos pratiques ! Minimisez la collecte de données, en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles. Redénissez qui doit pouvoir accéder à quelles données dans votre entreprise. Pensez à poser des règles automatiques d’eacement ou d’archivage au bout d’une certaine durée dans vos applications.
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
BONNE PRATIQUE Échanger avec d’autres entrepreneurs d’entreprises d’entreprises comparables ou consulter votre fédération professionnelle vous aidera à mieux appréhender appréhe nder la mise en œuvre œuvre du RGPD. RGPD.
PASSEZ À L’ACTION : RGPD
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, (client s, collaborateurs, etc.).
Bpifrance Le Lab
33
3. RESPECTEZ
LES DROITS DES PERSONNES Informez les personnes À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Vériez que l’informatio l’information n comporte notammen notammentt les les éléments éments suivants :
• pourquo pourquoii vous collectez les données (« la nalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
• ce qui vous autorise à traiter ces données (le « fondement
juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
• qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
• combien de temps vous les conservez (exemple : « 5 ans après la n de la relation contractuelle ») ;
• les modalités selon lesquelles les personnes concernées
peuvent exercer leurs droits ( (via via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identié) ;
• si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).
Des exemples de mentions sont disponibles sur le site internet de la CNIL. Pour éviter des mentions trop longues au niveau d’un formulaire en
ligne, vous pouvez par exemple, donner un premier niveau d’information en n de formulaire et renvoyer à une politique de condentia condentialité/ lité/
page vie privée sur votre site internet. À l’issue de cette étape, vous avez répondu à votre obligation de transparence. PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
35
Sign up to download Guide RGPD
Le RGPD renforce l’obligation d’information et de transparence Sign Up With Facebook à l’égard des personnes Sign Up With Google dont vous traitez or with email Name s, les données (clients, (client collaborateurs, etc.). Email
3. RESPECTEZ
LES DROITS DES PERSONNES Informez les personnes À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Vériez que l’informatio l’information n comporte notammen notammentt les les éléments éments suivants :
• pourquo pourquoii vous collectez les données (« la nalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
• ce qui vous autorise à traiter ces données (le « fondement
Password
juridique » : il peut s’agir du consentement de la personne concernée,
(at least 6 characters)
Show
de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
• qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
Send me updates from Scribd
• combien de temps vous les conservez (exemple : « 5 ans après la n de la relation contractuelle ») ;
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
• les modalités selon lesquelles les personnes concernées
peuvent exercer leurs droits ( (via via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identié) ;
• si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).
Des exemples de mentions sont disponibles sur le site internet de la CNIL. Pour éviter des mentions trop longues au niveau d’un formulaire en
ligne, vous pouvez par exemple, donner un premier niveau d’information en n de formulaire et renvoyer à une politique de condentia condentialité/ lité/
page vie privée sur votre site internet. À l’issue de cette étape, vous avez répondu à votre obligation de transparence. PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
35
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
37
Permettez aux personnes d’exercer facilement leurs droits Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés renforc és par le RGPD : droit d’accès, de rectication, d’opposition, d’eacement, à la portabilité et à la limitation du traitement. Vous devez leur donner les moyens d’exercer eectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécique, un numéro de téléphone ou une adresse de messagerie dédiée. Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
Mettez en place un processus interne permettant de garantir l’identication et le traitement des demandes dans des délais courts (1 mois au maximum).
BONNE PRATIQUE : SOYEZ RÉACTIFS ! Bien traiter les demandes des consommateurs quant à leurs
données personnelles, c’est : • renfor renforcer cer la conance conance qui sécurise la relation-c relation-client lient ; • vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.
À l’issue de cette étape, vous serez en capacité de répondre aux demandes des personnes concernées.
POUR EN SAVOIR PLUS : « Dossier respecter respecter les droits droits des personnes » sur le site internet de la CNIL
Permettez aux personnes d’exercer facilement Signleurs up droits to download Guide
RGPD
Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés renforc és par le RGPD : droit d’accès, de rectication, d’opposition, d’eacement, à la portabilité et à la limitation du traitement.
Sign Up With Facebook
Vous devez leur donner les moyens d’exercer eectivement leurs droits. Si vous disposez d’un site web, prévoyez un formulaire de contact spécique, un numéro de téléphone ou une adresse de messagerie Up With dédiée. Si vous proposez un compte en ligne, donnez Sign à vos clients la possibilité d’exercer leurs droits à partir de leur compte.
Google
Mettez en place un processus interne permettant deor garantir with email l’identication et le traitement des demandes dans des délais courts (1 mois au maximum). Name
Email
BONNE PRATIQUE : SOYEZ RÉACTIFS ! Bien traiter les demandes des consommateurs quant à leurs
données personnelles, c’est :
Password
(at least 6 characters) • renfor renforcer cer la conance conance qui sécurise la relation-c relation-client lient ; • vous mettre à l’abri de critiques sur les réseaux sociaux, ou de réclamations auprès de la CNIL.
Show
Send me updates from Scribd
À l’issue de cette étape, vous serez en capacité de répondre aux demandes des personnes concernées. Sign Up
POUR EN SAVOIR PLUS : « Dossier respecter respecter les droits droits des personnes » sur le site internet de la CNIL By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu d’assurer la sécurité des données personnelles que vous détenez.
Bpifrance Le Lab
37
4. SÉCURISEZ
VOS DONNÉES Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident. Diérentes actions doivent être mises en place : mises à jour de vos
antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chirement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus dici le pour un tiers d’y accéder.
BONNE PRATIQUE Demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot passe » chaque année. Si ce taux est faible voire nul, c’est que votre politique de gestion des mots de passe n’est pas assez assez exigeante exigeante !
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
39
Sign up to download Guide RGPD
Si le risque zéro n’existe pas en informatique, Sign Up With Facebook vous devez prendre les mesures nécessaires Sign Up With Google pour garantir au mieuxor with email la sécurité desName données.
4. SÉCURISEZ
VOS DONNÉES Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident. Diérentes actions doivent être mises en place : mises à jour de vos
Vous êtes en effet Email tenu d’assurer la sécurité des données Password personnelles que vous détenez.
antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chirement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus dici le pour un tiers d’y accéder.
(at least 6 characters)
Show
BONNE PRATIQUE
Send me updates from Scribd
Sign Up
Demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité « oubli de mot passe » chaque année. Si ce taux est faible voire nul, c’est que votre politique de gestion des mots de passe n’est pas assez assez exigeante exigeante !
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
Les failles de sécurité ont également des conséquences pour ceux qui vous ont coné des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modication non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.
EXEMPLE Vous êtes restaurateur et vous livrez à domicile. Vos clients vous communiquent leur adresse précise et le code d’entrée de leur immeuble. Si ces immeuble. ces informations informations sont piratées piratées ou ou perdues, perdues, elles elles peuv ent être util isé es pour s’i ntrod uire frau dul euse men t au domicile de votre clie nt. Conséqu ence désastre use pour vos clients, mais aussi pour vous !
Bpifrance Le Lab
39
POUR VOUS AIDER : En cas de dicultés (un sinistre, une attaque at taque informatique, etc.), le site gouvernemental www.cybermalveillance.gouv.fr www.cybermalveillance.gou v.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés.
BONNE PRATIQUE Une démarche d’anticipation sur le niveau global de sécurité peut être être complété complétée e par par une appro approche che assurantie assurantielle. lle.
Renseignez-vous auprès de ces professionnels sur le contenu pos sib le des pol ice s d ’as sur anc e ( res pon sab ili té civ ile , dommages couverts…) et surtout sur les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise…).
Signalez à la CNIL les violations de données personnelles BONNE PRATIQUE Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
• les compte comptes s utilisateur utilisateurs s internes et externes sont-ils protég protégés és par des des mots mots de passe d’une complexité susante ?
• les accès accès aux aux locaux locaux sont-ils sécurisé sécurisés s? • des prols distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
• avez-vous mis en en place une procéd procédure ure de sauvegar sauvegarde de et de récupération récupér ation des données données en cas cas d’incident d’incident ?
Votre Vo tre entr entrepris eprisee a subi une violation ation de donné données es (des donn données ées pers personnel onnelles les ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ? Vous devez Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notication s’eectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.
À l’issue de cette cette étape, vous serez serez en capacité capacité d’assurer d’assurer une protection des données personnelles en continu et de faire face aux incidents.
POUR EN SAVOIR PLUS : « Guide des bonnes pratiques de l’informatique » réalisé par l’ANSSI et la CPME sur le site internet www.cybermalveillance.gouv.fr « Guide sécurité des données personnelles »
sur le site internet de la CNIL
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
41
Sign up to download Guide RGPD
Les failles de sécurité ont également des conséquences pour ceux qui vous ont coné des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modication non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.
POUR VOUS AIDER : En cas de dicultés (un sinistre, une attaque at taque informatique, etc.), le site gouvernemental www.cybermalveillance.gouv.fr www.cybermalveillance.gou v.fr vous propose de l’aide en ligne ainsi qu’une liste de prestataires approuvés.
Sign Up With Facebook Sign Up With Google
EXEMPLE
or with email
BONNE PRATIQUE
Vous êtes restaurateur et vous livrez à domicile. Vos clients vous communiquent leur adresse préciseName et le code d’entrée de leur
Une démarche d’anticipation sur le niveau global de sécurité peut être être complété complétée e par par une appro approche che assurantie assurantielle. lle.
immeuble. Si ces immeuble. ces informations informations sont piratées piratées ou ou perdues, perdues, elles elles peuv ent être util isé es pour s’i ntrod uire frau dul euse men t au domicile de votre clie nt. Conséqu ence désastre use pour vos clients, mais aussi pour vous !
Renseignez-vous auprès de ces professionnels sur le contenu pos sib le des pol ice s d ’as sur anc e ( res pon sab ili té civ ile , dommages couverts…) et surtout sur les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise…).
Email
Password
Signalez à la CNIL les violations de données personnelles
(at least 6 characters)
Votre Vo tre entr entrepris eprisee a subi une violation ation de donné données es (des donn données ées pers personnel onnelles les
BONNE PRATIQUE
Show
Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
Send me updates • les compte comptes s utilisateur utilisateurs s internes et externes sont-ils protégés protég ésfrom Scribd par des des mots mots de passe d’une complexité susante ?
• les accès accès aux aux locaux locaux sont-ils sécurisé sécurisés s?
Sign • des prols distincts sont-ils créés selon les besoins des
Up
utilisateurs pour accéder aux données ?
• avez-vous mis en en place une procéd procédure ureregistering de sauvegar sauvegarde et de account, you agree to our By adeScribd récupération récupér ation des données données en cas cas d’incident d’incident ?
Terms of Service and Privacy Policy
ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ? Vous devez Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notication s’eectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.
À l’issue de cette cette étape, vous serez serez en capacité capacité d’assurer d’assurer une protection des données personnelles en continu et de faire face aux incidents.
POUR EN SAVOIR PLUS : Already have » an account? Sign in « Guide des bonnes pratiques de l’informatique réalisé par l’ANSSI et la CPME sur le site internet www.cybermalveillance.gouv.fr « Guide sécurité des données personnelles »
sur le site internet de la CNIL
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
41
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
43
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
LA SOUSTRAITANCE
Bpifrance Le Lab
43
LA SOUSTRAITANCE
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
Le RGPD reconnaît le rôle des sous-traitants dans le traitement de données personnelles, et leur impose des obligations particulières.
QUI EST CONCERNÉ ? Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’un autre organisme (le « responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de coner la gestion de vos données personnelles à des prestataires qui seront vos sous-traitants (exemple : SSII, intégrateurs de logiciels, hébergeurs de données).
Vous êtes concerné Vous concerné,, en qualité de sous-traitant, si votre entreprise traite des données personnelles sur instruction et pour le compte d’un autre organisme dans le cadre d’un service ou d’une prestation (exemple : vous eectuez des opérations de prospection commerciale pour le compte de vos clients).
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
47
Sign up to download Guide RGPD
Le RGPD reconnaît le rôle des sous-traitants Sign Up With Facebook dans le traitement Sign Up With Google de données personnelles, or with email et leur impose Name des obligations particulières. Email Password
QUI EST CONCERNÉ ?
Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’un autre organisme (le « responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de coner la gestion de vos données personnelles à des prestataires qui seront vos sous-traitants (exemple : SSII, intégrateurs de logiciels, hébergeurs de données).
Vous êtes concerné Vous concerné,, en qualité de sous-traitant, si votre entreprise traite des données personnelles sur instruction et pour le compte d’un autre organisme dans le cadre d’un service ou d’une prestation (exemple : vous eectuez des opérations de prospection commerciale pour le compte de vos clients).
(at least 6 characters)
Show Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
QUE DOIVENT FAIRE LES LES SOUSTRAITANTS ? Les sous-traitants sont tenus de respecter des obligations spéciques en matière de sécurité, de condentialité et de documentation de leur activité. Ils doivent prendre en compte l’objectif de protection des données
personnelles et de la vie privée dès la conception de leur service (principe du « privacy « privacy by design design ») ») ou de leur produit, et ils doivent mettre en place des mesures permettant de garantir une protection optimale des données.
Bpifrance Le Lab
47
EXEMPLE Un hébergeur de données doit proposer à ses clients de purger automatiquement et sélectivement les données d’une base active à l’issue l’issue d’une d’une certaine certaine durée.
Les sous-traitants ont également une obligation de conseil auprès de leurs clients (exemple : insister auprès de ses clients pour les mises à jour de logiciel). Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (exemple : étude d’impact sur la vie privée, notication de violation de données, sécurité, etc.). Les sous-traitants doivent enfin tenir un registre des activités de traitement eectuées pour le compte de leurs clients en complément de leurs propres traitements ! Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat.
Ce contrat doit prévoir une clause spécique sur la protection
EXEMPLE
des données personnelles. Des exemples de clauses sont disponibles sur le site internet de la CNIL.
Un éditeur de logiciel doit s’interroger dès la création de son outil sur les champs que ses clients pourront remplir dans le cadre de son objet . Dans un outil de g estion clients (CRM ou ERP), la présence de champs de texte libre pour insérer
des commentaires suite à un contact client peut conduire, par exemple, à inscrire des propos excessifs ou non pertinents. Il est donc utile de prévoir des listes déroulantes de motifs de contacts à la place, qui seront objectifs et neutres.
BONNE PRATIQUE Médiation : vous pouvez prévoir et anticiper le recours à la médiation médiation pour gérer un potentiel potentiel conit.
POUR EN SAVOIR PLUS : « Guide RGPD pour les sous-traitants » sur le site internet de la CNIL
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
49
Sign up to download Guide RGPD
QUE DOIVENT FAIRE LES LES SOUSTRAITANTS ?
Sign Up With Facebook
EXEMPLE
Sign Up With Google
automatiquement et sélectivement les données d’une base active à l’issue l’issue d’une d’une certaine certaine durée.
Un hébergeur de données doit proposer à ses clients de purger
or with email
Les sous-traitants ont également une obligation de conseil auprès de leurs clients (exemple : insister auprès de ses clients pour les mises à jour de logiciel). Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (exemple : étude d’impact sur la vie privée, notication de violation de données, sécurité, etc.).
Les sous-traitants sont tenus de respecterName des obligations spéciques en matière de sécurité, de condentialité et de documentation de leur activité. Ils doivent prendre en compte l’objectif de protection des données
Les sous-traitants doivent enfin tenir un registre des activités de traitement eectuées pour le compte de leurs clients en complément de leurs propres traitements !
personnelles et de la vie privée dès la conception Email de leur service (principe du « privacy « privacy by design design ») ») ou de leur produit, et ils doivent mettre en place des mesures permettant de garantir une protection optimale des données.
Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat.
Password
(at least 6 characters)
Ce contrat doit prévoir une clause spécique sur la protection
Show
EXEMPLE
des données personnelles. Des exemples de clauses sont disponibles sur le site internet de la CNIL.
Un éditeur de logiciel doit s’interroger dès la création de sonfrom Scribd Send me updates outil sur les champs que ses clients pourront remplir dans le cadre de son objet . Dans un outil de g estion clients (CRM ou ERP), la présence de champs de texte libre pour insérer
des commentaires suite à un contact client peut conduire, Sign par Up
exemple, à inscrire des propos excessifs ou non pertinents. Il est donc utile de prévoir des listes déroulantes de motifs de contacts à la place, qui seront objectifs neutres. a Scribd account, you agree to our Byetregistering
Terms of Service and Privacy Policy
Already have an account? Sign in
BONNE PRATIQUE Médiation : vous pouvez prévoir et anticiper le recours à la médiation médiation pour gérer un potentiel potentiel conit.
POUR EN SAVOIR PLUS : « Guide RGPD pour les sous-traitants » sur le site internet de la CNIL
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
ÊTES-VOUS CONCERNÉ ?
TRAITEMENTS DE DONNEES A RISQUE
49
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show Send me updates from Scribd
TRAITEMENTS DE DONNEES A RISQUE
ÊTES-VOUS CONCERNÉ ?
Sign Up
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
Les données personnelles sont au cœur de votre modèle économique, vous mettez en place des services ser vices innovants, vous traitez des données sensibles ?
LES POINTS DE VIGILANCE Certaines données ou certains types de traitements nécessitent
une vigilance particulière :
Lorsque vous traitez certains types de données à risque Sont notamment concernées les données dites « sensibles » :
• révélant l’origine prétendument raciale ou ethnique ; • portant sur les opinions politiques, philosophiques ou religieuses ; • relatives à l’appartenance syndicale ;
Une analyse approfondie de la règlementation est nécessaire pour déterminer les mesures à mettre en œuvre.
• concernant la santé ou l’orientation sexuelle ; • génétiques ou biométriques. Les données d’infraction ou de condamnation pénale font également l’objet de règles particulières. Ces données ne peuvent être utilisées
que sous certaines conditions strictement encadrées par la loi Informatique et libertés et par le RGPD.
Lorsque votre traitement a pour objet ou pour effet : 1. l’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring nancier) ;
2. une prise de décision automatisée ; 3. la surveillance systématique de personnes (exemple : télésurveillance) ; 4. le traitement de données sensibles (exemple : santé, biométrie, etc.) ; 5. le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;
6. le traitement à grande échelle de données personnelles ; 7. le croisement d’ensembles de données ; 8. des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
9. l’exclusion du bénéce d’un droit, d’un service ou contrat (exemple : liste noire).
Si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez, a priori , conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
53
Sign up to download Guide RGPD
Les données personnelles sont au cœur de votre Sign Up With Facebook modèle économique, vous mettez en placeSign Up With Google des services ser vices innovants,or with email vous traitez desNamedonnées sensibles ?
LES POINTS DE VIGILANCE
Certaines données ou certains types de traitements nécessitent
une vigilance particulière :
Lorsque vous traitez certains types de données à risque Sont notamment concernées les données dites « sensibles » :
• révélant l’origine prétendument raciale ou ethnique ; • portant sur les opinions politiques, philosophiques ou religieuses ; • relatives à l’appartenance syndicale ;
Email
Une analyse approfondie de la règlementation Password est nécessaire pour déterminer les mesures à mettre en œuvre.
• concernant la santé ou l’orientation sexuelle ; • génétiques ou biométriques. Les données d’infraction ou de condamnation pénale font également l’objet de règles particulières. Ces données ne peuvent être utilisées
que sous certaines conditions strictement encadrées par la loi Informatique
(at least 6 characters)
et libertés et par le RGPD.
Show
Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
Lorsque votre traitement a pour objet ou pour effet : 1. l’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring nancier) ;
2. une prise de décision automatisée ; 3. la surveillance systématique de personnes (exemple : télésurveillance) ; 4. le traitement de données sensibles (exemple : santé, biométrie, etc.) ; 5. le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;
6. le traitement à grande échelle de données personnelles ; 7. le croisement d’ensembles de données ; 8. des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
9. l’exclusion du bénéce d’un droit, d’un service ou contrat (exemple : liste noire).
Si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez, a priori , conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.
PASSEZ À L’ACTION : RGPD
En complément de l’établissement du registre et de la description du traitement, cette analyse de l’impact sur la vie privée vous permettra d’identier les risques associ és à ces données personnelles. Il ne s’agit donc pas du même travail.
POUR EN SAVOIR PLUS : Sur les cas dans lesquels un PIA est nécéssaire et comment l’élaborer : « Dossier PIA PIA » sur le site internet de la CNIL
Lorsque vous transférez des données en dehors de l’Union européenne Vériez si le pays pays hors Union européenn européenne e vers lequel vous vous transférez transférez les données dispose d’une législation de protection des données et si elle est reconnue adéquate par la Commission européenne.
Une carte du monde présentant les législations de protection des données est à votre disposition sur le site de la CNIL. Sinon, vous devrez encadrer juridiquement vos transferts pour assurer la protection des données à l ’étranger.
POUR EN SAVOIR PLUS : « Dossier transférer transférer des des données hors de de l’UE » sur le site internet de la CNIL Si votre situation correspond à l’un ou à plusieurs de ces points
de vigilance, une analyse approfondie du RGPD et de la loi Informatique et Libertés est nécessaire pour déterminer les mesures à mettre en œuvre.
Il est alors utile de se faire accompagner !
Bpifrance Le Lab
53
QUI CONTACTER POUR SE FAIRE AIDER AI DER ? Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données. Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers. Dans les autres cas, la désignation d’ un délégué est recommandée
notamment si votre activité vous impose de mener une analyse approfondie approfondi e du RGPD. Le délégué peut être désigné en interne parmi vos collaborateurs ou en externe. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.
POUR EN SAVOIR PLUS : Sur les cas de désignation obligatoires et les compétences du délégué à la protection
des données : protection des des données » « Dossier le délégué à la protection sur le site internet de la CNIL Si vos traitements de données sont susceptibles d’engendrer des risques spéciques ou des problématiques nouvelles au regard de la protection des données, n’hésitez pas à vous informer auprès de la CNIL (modalités de contact sur la page « CONTACT » du site internet de la CNIL). Par ailleurs, vos sous-traitants ont une obligation d’alerte et de conseil en matière de protection des données. N’hésitez-pas à les solliciter.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
55
Sign up to download Guide RGPD
En complément de l’établissement du registre et de la description du traitement, cette analyse de l’impact sur la vie privée vous permettra d’identier les risques associ és à ces données personnelles. Il ne s’agit donc pas du même travail.
POUR EN SAVOIR PLUS : Sign Up With Facebook Sur les cas dans lesquels un PIA est nécéssaire et comment l’élaborer : « Dossier PIA PIA » Sign Up With Google sur le site internet de la CNIL
or with email
Lorsque vous transférez des données en dehors de l’Union européenne Name
QUI CONTACTER POUR SE FAIRE AIDER AI DER ?
Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données.
Vériez si le pays pays hors Union européenn européenne e vers lequel vous vous transférez transférez les données dispose d’une législation de protection des données et si elle est reconnue adéquate par la Commission européenne.
Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers. Dans les autres cas, la désignation d’ un délégué est recommandée
Une carte du monde présentant les législations de protection des Email données est à votre disposition sur le site de la CNIL.
notamment si votre activité vous impose de mener une analyse approfondie approfondi e du RGPD.
Sinon, vous devrez encadrer juridiquement vos transferts pour assurer la protection des données à l ’étranger.
Le délégué peut être désigné en interne parmi vos collaborateurs ou en externe. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.
Password
POUR EN SAVOIR PLUS : (at least 6 characters) « Dossier transférer transférer des des données hors de l’UE » de sur le site internet de la CNIL
POUR EN SAVOIR PLUS : Sur les cas de désignation obligatoires
Show
et les compétences du délégué à la protection
Si votre situation correspond à l’un ou à plusieurs de ces points
des données : protection des des données » « Dossier le délégué à la protection sur le site internet de la CNIL
de vigilance, une analyse approfondie du RGPD et de la loi Informatique Send me updates from Scribd et Libertés est nécessaire pour déterminer les mesures à mettre en œuvre.
Il est alors utile de se faire accompagner !
Sign Up
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Si vos traitements de données sont susceptibles d’engendrer des risques spéciques ou des problématiques nouvelles au regard de la protection des données, n’hésitez pas à vous informer auprès de la CNIL (modalités de contact sur la page « CONTACT » du site internet de la CNIL). Par ailleurs, vos sous-traitants ont une obligation d’alerte et de conseil en matière de protection des données. N’hésitez-pas à les solliciter.
Already have an account? Sign in
PASSEZ À L’ACTION : RGPD
Collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce que vous faites de leurs données et de respecter leurs droits. En tant que responsable d’un traitement de données, ou en tant que sous-traitant, vous devez prendre des mesures pour garantir une utilisation de ces données respectueuse de la vie privée des personnes concernées.
Bpifrance Le Lab
55
LES 6 BONS REFLEXES
DE LA PROTECTION DES DONNÉES PERSONNELLES 1
Ne collectez que les données vraiment nécessaires Posez-vous les bonnes questions : Quel est mon objectif ? Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ? Est-ce pertinent ? Les personnes concernées sont-elles d’accord ?
2
Soyez transparent
3
Pensez aux droits des personnes
4 5 6
Une information claire et complète constitue le socle du contrat de conance qui vous lie avec les personnes dont vous traitez les données.
Vous devez Vous devez répondre répondre dans les meilleurs meilleurs délais, aux demandes de consultation, de rectication ou de suppression des données.
Gardez la maîtrise de vos données Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, an de leur assurer une protection à tout moment.
Identifiez les risques Vous traitez Vous traitez énormémen énormémentt de donnée données, s, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spéciques peuvent s’appliquer.
Sécurisez vos données Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident. PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
57
Sign up to download Guide RGPD
Collecter et traiter des données Sign Up With Facebook personnelles implique avant tout d’informerSign Up With Google les personnes sur or with email Name ce que vous faites de leurs données et Email de respecter leurs droits.
En tant que responsable Password d’un traitement Show de données, ou en tant que sous-traitant, vous devez prendre Sign Up des mesures pour garantir une utilisation de ces données Already have an account? Sign in respectueuse de la vie privée des personnes concernées.
LES 6 BONS REFLEXES
DE LA PROTECTION DES DONNÉES PERSONNELLES 1
Posez-vous les bonnes questions : Quel est mon objectif ? Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ? Est-ce pertinent ? Les personnes concernées sont-elles d’accord ?
2
(at least 6 characters)
3
Send me updates from Scribd
By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Ne collectez que les données vraiment nécessaires
4 5 6
Soyez transparent Une information claire et complète constitue le socle du contrat de conance qui vous lie avec les personnes dont vous traitez les données.
Pensez aux droits des personnes Vous devez Vous devez répondre répondre dans les meilleurs meilleurs délais, aux demandes de consultation, de rectication ou de suppression des données.
Gardez la maîtrise de vos données Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, an de leur assurer une protection à tout moment.
Identifiez les risques Vous traitez Vous traitez énormémen énormémentt de donnée données, s, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spéciques peuvent s’appliquer.
Sécurisez vos données Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident. PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
57
QUEL EST LE RÔLE DE LA CNIL ?
QUEL EST LE RÔLE DE BPIFRANCE ?
La Commission nationale de l’informatique et des libertés, (CNIL) est le régulateur français des données personnelles.
Bpifrance nance les entreprises, à chaque étape de leur développement, en crédit, en garantie et en fonds propres. Bpifrance les accompagne dans leurs projets d’innovation et à l’international.
La CNIL accompagne les acteurs privés et publics dans la mise en œuvre de leur conformité en matière de protection des données personnelles. Elle reçoit et traite les réclamations des particuliers et dispose des pouvoirs de contrôles sur place ou en ligne. Elle peut imposer à un acteur de régulariser son traitement (mise en demeure) ou prononcer des sanctions (amende, etc.).
Bpifrance assure aussi, désormais leur activité export à travers une large gamme de produits. Conseil, université, mise en réseau et programmes d’accélération font également partie de l’ore proposée aux entrepreneurs. Grâce à Bpifrance et ses 48 implantations régionales, les entrepreneurs bénécient d’un interlocut eur proche, unique et ecace pour faire face à leurs dés.
ZOOM SUR BPIFRANCE LE LAB Bpifrance Le Lab est le laboratoire d’idées de Bpifrance lancé
en mars 2014 pour « faire le pont » entre le monde de la recherche et celui de l’entreprise. Bpifrance Le Lab est un agitateur d’idées pour Bpifrance et les dirigeants dirigeants d’entre d’entreprises, prises, de la startup à l’ETI. l’ETI. Bpifrance Le Lab décrypte les déterminants de la croissance et éclaire les chefs d’entreprises dans un monde de ruptures à la fois économiq économiques, ues, sociétales étales et environ environnemental nementales, es, avec 2 nalités nalités :
• participer à l’amélioration des pratiques de nancement et d’accompagnement de Bpifrance ;
• stimuler la réexion stratégique des dirigeants et favoriser la croissanc croissance e de leur entrepr entreprise. ise. Bpifrance Le Lab s’est doté de sa propre gouvernance, avec un conseil d’orientation composé de personnalités interdisciplinaires
et présidé par Nicolas Dufourcq, Directeur général de Bpifrance.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
59
QUEL EST LE RÔLE DE LA CNIL ?
Sign up to download Guide RGPD Sign Up With Facebook
Sign (CNIL) Up With Google La Commission nationale de l’informatique et des libertés, est le régulateur français des données personnelles.
QUEL EST LE RÔLE DE BPIFRANCE ? Bpifrance nance les entreprises, à chaque étape de leur développement, en crédit, en garantie et en fonds propres. Bpifrance les accompagne dans leurs projets d’innovation et à l’international.
La CNIL accompagne les acteurs privés et publics dans laormise enemail with
Bpifrance assure aussi, désormais leur activité export à travers
œuvre de leur conformité en matière de protection des données personnelles. Name
une large gamme de produits. Conseil, université, mise en réseau et programmes d’accélération font également partie de l’ore proposée aux entrepreneurs.
Elle reçoit et traite les réclamations des particuliers et dispose des pouvoirs de contrôles sur place ou en ligne.
Grâce à Bpifrance et ses 48 implantations régionales, les entrepreneurs bénécient d’un interlocut eur proche, unique et ecace pour faire face à leurs dés.
Elle peut imposer à un acteur de régulariser son traitement (mise en demeure) ou prononcer des sanctions (amende, Email etc.).
Password
(at least 6 characters)
Show
ZOOM SUR BPIFRANCE LE LAB Bpifrance Le Lab est le laboratoire d’idées de Bpifrance lancé
Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
en mars 2014 pour « faire le pont » entre le monde de la recherche et celui de l’entreprise. Bpifrance Le Lab est un agitateur d’idées pour Bpifrance et les dirigeants dirigeants d’entre d’entreprises, prises, de la startup à l’ETI. l’ETI. Bpifrance Le Lab décrypte les déterminants de la croissance et éclaire les chefs d’entreprises dans un monde de ruptures à la fois économiq économiques, ues, sociétales étales et environ environnemental nementales, es, avec 2 nalités nalités :
• participer à l’amélioration des pratiques de nancement et d’accompagnement de Bpifrance ;
Already have an account? Sign in
• stimuler la réexion stratégique des dirigeants et favoriser la croissanc croissance e de leur entrepr entreprise. ise. Bpifrance Le Lab s’est doté de sa propre gouvernance, avec un conseil d’orientation composé de personnalités interdisciplinaires
et présidé par Nicolas Dufourcq, Directeur général de Bpifrance.
PASSEZ À L’ACTION : RGPD
Bpifrance Le Lab
59
Pour enrichir vos connaissances, consultez nos 3 fiches pratiques : • Sachez
que faire quand votre entreprise communique et/ou vend en ligne
• Améliorez et maîtrisez
votre relation client • Protégez les données
de vos collaborateurs
1 0 2 0 0 1 : . f é R
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Pour enrichir Name vos connaissances, consultez nos 3Emailfiches pratiques : • Sachez
Password
que faire (at least 6 characters) quand votre entreprise communique et/ou vend en ligne
Show
Send me updates from Scribd
• Améliorez et maîtrisez
votre relation client
Sign Up
• Protégez les données By registering a Scribd account, you agree to our
de vos collaborateurs
Terms of Service and Privacy Policy
Already have an account? Sign in
1 0 2 0 0 1 : . f é R
Sign up to download Guide RGPD
Sign Up With Facebook Sign Up With Google or with email
Name
Email
Password
(at least 6 characters)
Show Send me updates from Scribd
Sign Up By registering a Scribd account, you agree to our Terms of Service and Privacy Policy
Already have an account? Sign in
CNIL 3, Place de Fontenoy - TSA 80715 75334 Paris Cedex 07 Tél. : 01 53 73 22 22
Bpifrance 27-31, avenue du Général Leclerc 94710 Maisons-Alfort Cedex Tél. : 01 41 79 80 00