Logo Dipeeo - Votre DPO externe

L'essentiel du RGPD

Qu’est-ce que le RGPD ? ⭐

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). C’est un règlement européen qui renforce et harmonise le traitement des données personnelles au sein de tous les États membres de l’Union européenne. 📜

Le RGPD englobe :

  • Un volet juridique (Ex : politique de confidentialité, registre des activités de traitement ou encore règles de bonne conduite). 📄
  • Un volet technique (Ex : recueil du consentement cookies, suppression des données personnelles périmées). ⚙

📌 En droit français, le RGPD a modifié la « Loi informatique et libertés » adoptée en 1978 à l’origine de la création de la Commission Nationale Informatique et Libertés (CNIL).

Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (les usages accrus du numérique, développement du commerce en ligne…).

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. 💼

 

Qui est concerné par la conformité RGPD ? 📜

😯 Tout organisme, quelle que soit sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • qu’elle est établie sur le territoire de l’Union européenne
  • ou que son activité cible directement des résidents européens.

Exemple :

  • Une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.
  • De même, une société établie en Chine, proposant un site d’e-commerce en français livrant des produits en France doit respecter le RGPD.

 

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

📌 Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Comment s’effectue une mise en conformité RGPD sur le plan juridique ? 📕

Une mise en conformité RGPD implique une mise en conformité RGPD “visible” (Ex : site web, application mobile, etc.) et “invisible.” (Ex : RH, registre, marketing, etc.)

Réalisation d’un audit des traitements de données auprès de toutes les équipes du client (ressources humaines, communication, etc.) afin d’identifier les traitements qu’ils effectuent (gestion de la paie, vidéoprotection, etc.) et les données traitées (données d’identification, données économiques et bancaires, etc.).  

Étape 2

Rédaction des documents en fonction des résultats de l’audit réalisé (politique de confidentialité des données, accord de protection des données, registre des activités de traitement, …)

Cette technique de mise en conformité n’a pas évolué depuis l’adoption de la première loi spécifique en matière de protection des données : la loi “informatique et libertés” de 1978.

📌 La conformité RGPD peut être effectuée soit en interne (via un DPO/référent interne RGPD) soit en externe (via un prestataire externe).

 

Les règles importantes de la conformité au RGPD :

  • La Licéité du traitement ;
  • La finalité du traitement ;
  • La minimisation des données ;
  • La protection des données sensibles ;
  • La conservation des données qui doit être limitée ;
  • L’obligation de sécurité ;
  • La transparence ;
  • Les droits des personnes ;

Quelles sont les causes de non-conformité RGPD et les risques encourus ? ⚠

Les principaux fondements de non-conformité sont les suivantes :

  • Interne RH
  • Externes clients B2B
  • Externes clients B2C

Les sources de contrôles sont les suivantes :

  • Risque externe autorité de contrôle
  • Risque externe ONG

🧐 Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

En plus des sanctions que le RGPD peut donner aux entreprises qui ne sont pas en conformité, il existe d’autres conséquences qui peuvent directement nuire à l’entreprise :

  • Demande en dommages et intérêts : les personnes qui sont en lien avec la violation du RGPD peuvent subir un dommage matériel ou moral. L’entreprise ou l’organisme devra alors verser des dommages et intérêts si cela se produit.

📌 Attention : En plus du paiement de l’amende pour le non-respect du RGPD, l’entreprise doit un versement de dommages et intérêts. En effet, le paiement de dommages et intérêts ne se substitue pas aux sanctions administratives et pénales.

Un déficit d’image : Une absence de mise en conformité d’une entreprise au RGPD va surement nuire à son image et à sa réputation. Cela pourrait alors engendrer une perte de revenus, car il y aura une perte de confiance des clients en l’entreprise.

Comment sont délivrées les sanctions et amendes liées au RGPD ? 🔥

Les sanctions et amendes liées au RGPD sont délivrées par les autorités de contrôle telles que la CNIL en France. Celle-ci doit répondre à un système de sanctions graduelles.

😀 La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité chargée du contrôle du RGPD. Elle a pour rôle de veiller au respect du RGPD et un devoir de vigilance, de dissuasion et de fermeté si jamais il y a des manquements des responsables de traitements et des sous-traitants.

📌 Le RGPD a renforcé les pouvoirs de sanctions de la CNIL. Ce qui veut dire que celle-ci a le droit d’imposer elle-même des sanctions administratives. Elle doit s’assurer que ces sanctions sont effectives, proportionnelles et dissuasives.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle. ✅

 

🔎 Suite à des plaintes sur les modalités de refus des cookies, la CNIL a infligé après enquête une amende de 150 millions d’euros à Google et 60 millions à Facebook. Le premier avait déjà été condamné à 100 millions d’euros sur sa politique de cookies en décembre 2020.

La CNIL a reçu 14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11077) et de 79 % en cinq ans.📈

Augmentation de 170 % en 2020 du montant d’amendes prononcées pour un volume de 138 561 300 € en France.

Une réception de plus de 2 287 notifications de violation.

70 % de la population indique être sensible à la protection de leurs données personnelles.

🔎 Les autorités de protection des données personnelles ont reçu 130 000 notifications pour violation de données personnelles en Europe en 2021. Au total, elles ont imposé près de 1,1 milliard d’euros d’amendes pour certains de ces manquements, dont les plus fortes infligées à Amazon et WhatsApp.

Qu'est-ce qu'une donnée personnelle ? 💻

✅ Il s’agit de toute information permettant d’identifier une personne physique directement ou indirectement :

  • nom, prénom
  • adresse mail
  • carte de paiement
  • numéro de téléphone
  • identifiant
  • numéro de sécurité sociale
  • adresse IP
  • photo d’un visage
  • vidéo montrant une personne
  •  …
charte informatique cnil rgpd

Le traitement des données personnelles sous-entend le traitement des données à caractère personnel de personnes physiques. 🤔

Exemples :

  • collecte d’informations par l’intermédiaire de :
  • une fiche de renseignements ;
  • un bordereau d’inscription ;
  • un questionnaire ;
  • un formulaire de contact ;
  • un formulaire d’inscription à une newsletter ;
  • Enregistrement d’une base de données ;

📌 Attention ! Il faut absolument noter qu’il existe des données ditessensibles“. Leur traitement nécessite de prendre des mesures supplémentaires. Ci-dessous une liste de ces données sensibles :

  • Données, qui parlent d’origine raciale ou ethnique ;
  • Données portant sur les opinions politiques, religieuses ou philosophiques, sur l’appartenance syndicale ;
  • Données concernant la santé, l’orientation sexuelle ;
  • Données concernant la génétique ou la biométrie ;
  • Données portant sur des infractions et condamnations pénales.

 

Un DPO ou délégué à la protection des données assiste le responsable de traitement ou le sous-traitant dans la conformité au RGPD. Il sera le conseiller et l’intermédiaire privilégié de la CNIL afin de piloter la conformité au RGPD. Le DPO sera également l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou qu’elles émanent d’une personne concernée par un traitement effectué par l’organisme. 🚀

On appelle responsable de traitement la personne qui réalise un traitement sur une donnée personnelle. (inscription à une newsletter via e-mail ).

Le RGPD a pour objectif d’encadrer les pratiques pour assurer le respect des données personnelles des citoyens. Le DPO (ou DPD) est apparu avec le RGPD en 2018. Son rôle, ses compétences, obligations ont été façonnés par le RGPD. 📜

📌 Le DPO peut accompagner une société qui se fait contrôler par la CNIL, assiste lors d’une plainte cliente ou employée, réaliser une étude d’impact pour un nouveau traitement.

Dipeeo peut vous accompagner facilement sur ces problématiques grâce à nos DPO certifiées Afnor et notre solution digitale. Vous pouvez nous contacter en cliquant ici !

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Cela va vous permettre de gagner du temps et de sécuriser votre business, pour un coût près de 3 fois moindre qu’un cabinet d’avocat

Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Le label "RGPD Conforme" délivré

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Pour en savoir plus, prenez un RDV avec l'un de nos experts !

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.

Les ressources disponibles

charte informatique cnil rgpd

Exemple de Charte RGPD

La Charte RGPD Rédiger ma Charte RGPD La Charte RGPD de Dipeeo Comment rédiger vos mentions RGPD ? La Charte de Données Personnelles est-elle obligatoire...

Read More