Les sanctions RGPD

Les sanctions RGPD

Les sanctions RGPD

Les sanctions de la non-conformité RGPD CNIL

Depuis l’entrée en application du RGPD, de nouvelles sanctions administratives dissuasives ont été mises en place.

En cas de manquements, la CNIL (autorité de contrôle en France), peut :

✔️ prononcer des sanctions pécuniaires jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial ;

✔️ prononcer un rappel à l’ordre ;

✔️ ordonner la mise en conformité d’un ou plusieurs traitements, sous astreinte ;

✔️ restreindre ou suspendre des flux de données ;

✔️ limiter un traitement de façon temporaire ou définitive ;

✔️ enjoindre de répondre à des demandes d’exercice des droits des personnes parfois sous astreinte ;

✔️ rendre publique la décision.

2021 : année record pour l’action répressive de la CNIL

Depuis 2018, les sanctions prononcées n’ont eu de cesse d’augmenter d’année en année. 2021 a été une année sans précédent pour la CNIL et le montant cumulé des amendes a dépassé les 214 millions d’euros !

La procédure simplifiée

Une procédure simplifiée de contrôle a été créée par une loi adoptée fin janvier 2022. Elle pourra être mise en œuvre à certaines conditions par le Président de la formation restreinte de la CNIL ou un membre désigné permettant d’infliger l’une des sanctions suivantes :

✔️ un rappel à l’ordre ;

✔️ une injonction de mise en conformité d’un ou plusieurs traitements sous astreinte ;

✔️ une amende administrative allant jusqu’à 20 000 €.

Les thématiques de contrôles pour l’année 2022

Thématiques de contrôle CNIL 2022

Les contrôles peuvent être effectués par la CNIL notamment sur la base de plaintes reçues et des sujets d’actualités. En parallèle et chaque début d’année sont retenues des thématiques prioritaires pour les contrôles de la CNIL. 

Les 3 thèmes retenus pour l’année 2022 sont les suivants :

✔️ la prospection commerciale ;

✔️ les outils de surveillance dans le cadre du télétravail ;

✔️ l’utilisation du « cloud » computing ou le recours à une technologie d’informatique en nuage.

TPE/PME : Tour d’horizon des sanctions 

Sanctions RGPD CNIL exemples

➡️ Une sanction de 180 000 euros.

Mesures de protection des données personnelles insuffisantes et absence d’information concernant une violation de données.

La CNIL a prononcé le 28 décembre 2021, une sanction de 180 000 euros à l’encontre de la société SLIMPAY qui propose des solutions de paiement à ses clients. Les défauts de protection et de sécurisation des données personnelles étaient à l’origine de cette sanction. Parmi les données traitées par la société SLIMPAY figuraient notamment des données bancaires (BIC/IBAN). La société SLIMPAY, victime d’une violation de données, n’avait notifié ni la CNIL ni les personnes concernées. Cet incident concernait plus de 12 millions de personnes !

➡️ 20 000 euros.

Des caméras de vidéosurveillance filmant en permanence les salariés !

Une TPE de 9 salariés a été sanctionnée par la CNIL le 13 juin 2019 à payer une amende de 20 000 euros assortie d’une astreinte de 200 euros par jour de retard. L’employeur avait installé dans son entreprise des caméras de vidéosurveillance qui filmaient en permanence les employés sur leurs postes de travail. En plus de la violation des droits et libertés des personnes par une utilisation trop intrusive de la vidéosurveillance, l’employeur a manqué à son obligation d’informer les salariés sur le traitement de leurs données.

➡️ 20 000 euros.

Des courriels de prospection envoyés sans avoir préalablement recueilli le consentement des prospects.

La société Nestor a été sanctionnée en décembre 2020 par la CNIL à payer une amende de 20 000 euros. La société avait envoyé des e-mails de prospection à des personnes sans avoir obtenu leur consentement au préalable. Plusieurs autres manquements ont été constatés, notamment l’absence de mention d’information des personnes sous le formulaire de contact du site internet ou encore pour la création d’un compte sur l’application mobile. La politique de protection des données personnelles était incomplète et trop générale.

Par ailleurs, la société Nestor n’a pas su donner droit aux demandes d’accès reçues par les personnes concernées. Enfin, le mot de passe exigé pour la création d’un compte sur le site internet et/ou sur l’application mobile a été jugé trop faible par la CNIL.

➡️ 6 000 et 3 000 euros.

Des mesures de sécurité insuffisantes pour protéger les données personnelles de leurs patients.

Deux médecins libéraux ont été sanctionnés par des amendes de 6 000 euros et 3 000 euros pour avoir manqué à leur obligation d’assurer la sécurité des données personnelles de leurs patients. Ils n’ont pas rempli leur obligation de notification de violation de données à la CNIL.

➡️ 3 000 euros.

Non-respect du droit à l’effacement et de rectification.

La société nouvelle de l’annuaire français (SNAF) a été sanctionnée le 15 septembre 2021 à hauteur de 3 000 euros. Elle ne respectait pas les droits des personnes concernées, ces dernières ne pouvant rectifier leurs données ni en demander l’effacement. La CNIL a également relevé des manquements à l’obligation de tenir un registre d’activités de traitement et à l’obligation de coopération durant un contrôle de conformité.

ETI/ grands groupes : Tour d’horizon des sanctions 

Sanctions RGPD CNIL exemples

➡️ 1 million d’euros.

Non-respect des obligations en matière de prospection commerciale et de droits des personnes.

Dans sa délibération en date du 30 juin 2022, la CNIL a prononcé une sanction de 1 million d’euros à l’encontre de TOTAL ÉNERGIES. Parmi les manquements relevés, la société ne donnait aucun moyen d’opposition aux utilisateurs concernant la réutilisation de leurs données à des fins de prospection commerciale.

Par ailleurs, d’autres manquements ont été mis en évidence à la suite des investigations de la CNIL : un manquement à l’obligation d’information des personnes démarchées téléphoniquement ; un manquement à l’obligation de respecter le droit d’accès aux données ; un manquement aux obligations relatives aux modalités d’exercice des droits. En effet, la société ne répondait pas aux demandes d’exercices de droit dans le délais prévu par le RGPD (un mois).

➡️ 500 000 euros.

Des courriels de prospection envoyés sans le consentement des personnes et non-respect d’autres obligations du RGPD.

Dans une autre délibération en date du 14 juin 2021, la CNIL a infligé une amende de 500 000 euros à la société BRICO PRIVÉ.

Après trois contrôles, la CNIL a notamment constaté que :

✔️ les durées de conservation fixées par la société dans son registre n’étaient pas respectées. Des données de centaines de milliers de clients étaient conservées au-delà des durées initialement prévues ;

✔️ l’information des personnes concernées ne comportait pas l’ensemble des informations obligatoires ;

✔️ le droit à l’effacement n’était pas respecté, la société procédait uniquement à la désactivation des comptes ;

✔️ la sécurité des données n’était pas assurée. D’une part, l’utilisation d’un mot de passe robuste lors de la création de compte utilisateur n’était pas imposée. D’autre part, les mots de passe des salariés qui permettaient l’accès à la base de données client n’étaient pas assez robustes et étaient conservés en clair dans un fichier texte contenu sur un ordinateur.

➡️ 400 000 euros à l’encontre de la RATP.

Le nombre de jours de grève des agents était inscrit dans des fichiers d’évaluation qui servaient à préparer les choix de promotion !

Le 29 octobre 2021, la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la RATP. Plusieurs centres de bus avaient saisi dans des fichiers d’évaluation le nombre de jours de grève de leurs agents. Ce fichier permettait de gérer l’évolution de carrière et les promotions attribuées aux agents. Parmi les infractions constatées :

✔️ un manquement au respect du principe de minimisation des données. En effet, des données non nécessaires à la préparation de l’évolution de carrière des agents étaient collectées (le nombre de jours de grève exercés par les agents) ;

✔️ un manquement à l’obligation de limiter les durées de conservation des données. Les données permettant le suivi d’activité des agents étaient conservées pendant plus de trois ans alors que leur conservation pour atteindre la finalité initialement fixée n’avait pas besoin de dépasser 18 mois ;

✔️ un manquement à la sécurité des données. La gestion des habilitations n’était pas satisfaisante et l’ensemble des données était accessible à tous les agents peu importe leurs fonctions ou leurs missions.

➡️ 300 000 euros.

Manquements quant aux droits des personnes et à la sécurité des données des utilisateurs.

Une société de téléphonie mobile française a fait l’objet de plusieurs plaintes. Elles témoignaient notamment des difficultés rencontrées par les personnes concernées à exercer leurs droits d’accès et d’opposition à recevoir de la prospection commerciale de la part de Free mobile. D’autres manquements concernant l’obligation de protection des données personnelles ont également été constatés par la CNIL.

⚠️ Les sanctions ne sont pas prononcées qu’à l’encontre de « grandes entreprises ». Les ETI, les TPE et les PME peuvent elles aussi être visées !

➡️ 150 000 euros pour le responsable de traitement…. et 75 000 euros pour son sous-traitant !

Négligence dans la mise en place de mesures préventives pendant la période d’élaboration d’un outil de cybersécurité adéquat.

En janvier 2021, la CNIL a sanctionné un responsable de traitement et son sous-traitant  de données pour ne pas avoir mis en place de mesures adéquates notamment à la suite d’attaques de « credential stuffing ». Après avoir subi des premières cyber-attaques, les deux sociétés se sont concentrées à développer un outil pour faire face à ces menaces de type « credential stuffing ». L’élaboration de l’outil ayant nécessité plus d’une année de travail, aucune autre mesure n’avait été mise en place. 40 000 clients ont été impactés par des attaques subies à cause des manquements constatés. La CNIL a décidé de sanctionner la négligence des deux sociétés. Elle a estimé que le responsable de traitement aurait dû mettre en place des mesures pendant l’année écoulée et que le sous-traitant devait l’assister et lui proposer des solutions appropriées.

Janvier 2022 : Facebook et Google sanctionnés

Facebook et Google RGPD : sanctions

L’année 2022 a débuté sur les chapeaux de roue : Google et Facebook se sont vu sanctionnés respectivement de 150 millions et 60 millions d’euros. La raison principale de ces sanctions ? L’utilisation de cookies et de traceurs sans respecter le recueil du consentement des internautes.

La CNIL avait reçu plusieurs plaintes de personnes qui dénonçaient les pratiques de Google et Facebook sur les traitements consistant aux dépôts de traceurs lors des visites sur leurs sites. La CNIL a donc effectué des contrôles en ligne et a constaté qu’aucun moyen pour refuser le dépôt de cookies aussi simplement que de les accepter n’était mis en place. Aussi, la CNIL en a déduit que les internautes n’avaient pas le choix d’exprimer librement leur consentement et que l’information fournie aux utilisateurs ne leur permettait pas de comprendre clairement qu’ils pouvaient refuser le dépôt de cookies.

Vous pouvez accéder ici à notre scan gratuit pour détecter les défauts de conformité et failles de sécurité de votre site internet.

Finalement, se mettre en conformité, ça coûte moins cher ! 😉

Votre conformité RGPD en 6 étapes

Votre conformité RGPD en 6 étapes

Votre conformité RGPD en 6 étapes

Conformité RGPD en 6 étapes

1

Désigner un pilote ou un comité de pilotage

Pour mettre en œuvre votre plan d’action, il vous faut dans un premier temps étudier si votre organisme a l’obligation de désigner un délégué à la protection des données (DPD ou DPO).  Dans le schéma ci-dessous sont présentés les trois cas dans lesquels la désignation d’un DPO est obligatoire. En dehors de ces trois cas, la désignation d’un DPO n’est pas obligatoire.

La désignation d’un DPO est-elle obligatoire ?

DPO obligatoire RGPD

💡 Découvrez notre article sur la notion de DPO ici.

Une mission à piloter

Pour piloter le travail de mise en conformité au RGPD, vous pouvez désigner un voire plusieurs pilotes ou chargés de projet qui, en plus de leurs missions, organiseront la mise en place du plan d’action. Pour faire émerger un projet de qualité, il est préférable que l’équipe désignée ne soit pas trop large. Trois aspects essentiels sont à prendre en compte :

      • Le volet technique ;
      • La partie juridique ;
      • Et le plan organisationnel.

L’élaboration et la mise en place du plan d’action ne dépendent pas que d’une seule personne. Tous les services de l’entreprise sont concernés. Aussi, la sensibilisation et la communication avec vos collaborateurs, chefs de services et l’ensemble du personnel sont essentielles.

Désigner un « point de contact »

Si la désignation d’un DPO n’est pas obligatoire au sein de votre entreprise, il peut être judicieux de désigner un « point de contact ». Cela permettra de simplifier et centraliser les procédures (déclaration de violation de données auprès de la CNIL, réalisation d’audit au sein de l’entreprise, tenue des registres, etc.). Cette personne peut être la personne désignée pour piloter la mise en conformité de votre entité par exemple.

2

Cartographier les activités de traitement

L’objectif de cette étape est de faire l’inventaire des activités de traitement mises en œuvre au sein de votre structure. Une activité de traitement regroupe une ou plusieurs opérations effectuées sur des données à caractère personnel (collecte, consultation, modification, etc.).

Vous pourrez ensuite débuter la rédaction de votre registre des activités de traitement et disposer d’une vue d’ensemble de la gestion des données personnelles au sein de votre entreprise. Elément central de votre travail de mise en conformité, ce registre vous permettra également de  mieux comprendre et maîtriser le patrimoine informationnel de l’entreprise. 

Traitements RGPD services de l'entreprise

3

Réaliser l’état des lieux

Pour élaborer votre registre des traitements, vous devrez pour chaque activité :

      • Identifier les données ou catégories de données utilisées ;
      • Répertorier les objectifs mobilisés ;
      • Lister les mesures de sécurité mises en place (techniques, physiques, organisationnelles) ;
      • Préciser les durées de conservation fixées ;
      • Lister les sous-traitants de données personnelles, les éventuels transferts de données ;
      • Etc.

En renseignant votre registre, vous allez identifier des actions à mener pour respecter les obligations en matière de protection des données et/ou les recommandations de la CNIL.

Après avoir interrogé les différents services et collaborateurs, vous pourrez distinguer certains écarts de  conformité et des pistes pour améliorer la protection des données au sein de votre structure.

🤔 Comment mesurer sa conformité au RGPD ?

Vous pourrez ensuite dresser un rapport des pratiques mises en place dans l’entreprise.

L’état des lieux ainsi réalisé permet de constater des éventuels écarts de conformité.

4

Affecter et prioriser les tâches

Priorisation et axes d’amélioration

Parmi les manquements que vous allez identifier pourront figurer  :

      • La mise en place d’une information adaptée à chaque support de collecte de données personnelles tel que sur le formulaire de contact de votre site internet ;
      • L’instauration d’une procédure pour la gestion des demandes d’exercice des droits et/ou de violations de données ;
      • La détermination et l’application d’une durée de conservation adéquate (par exemple : 2 ans maximum pour les CV collectés dans le cadre d’un recrutement) ;
      • La mise en place ou l’amélioration de mesures de sécurité (par exemple concernant la gestion des habilitations et des accès) ;
      • Etc.

Communication

Chaque département, service ou collaborateur peut être mobilisé et participer à la mise en place des bonnes pratiques. Pour cela, vous pouvez communiquer le plus largement possible au sein de la société sur le travail en cours.

Il vous appartient d’affecter les tâches à mener dans le cadre de la mise en conformité, à une ou plusieurs personnes et de mobiliser les ressources nécessaires.

Nous vous recommandons également de prévoir une sensibilisation et des formations du personnel selon les services et selon les traitements de données effectués au sein de ces services.

💡Des exemples concrets d’amélioration de la protection des données

Vous pouvez charger le service qui gère le site Internet de vérifier et, le cas échéant, de mettre en place :

      • Une information des internautes sur les données collectées et traitées (via une politique de protection des données) ;
      • Un outil de gestion des cookies ;
      • Des formulaires de contact respectant le principe de minimisation des données.

Le DSI (Directeur des Systèmes d’Information) peut apporter son expertise et ses connaissances pour améliorer les mesures de sécurité mises en place. Par exemple :

      • Un système de chiffrement et de pseudonymisation des données traitées ;
      • La vérification des flux de données et de leur nécessité ;
      • Des tests, analyses, mises à jour et évaluations régulières des systèmes d’information.

5

Gérer et aménager les processus

Les collaborateurs

RGPD et collaborateurs les processus

Il est fortement conseillé de gérer les habilitations et de mettre à jour les droits d’accès de vos collaborateurs de façon régulière.

La formation et la sensibilisation au RGPD de l’ensemble du personnel jouent un rôle essentiel et contribuent à la réussite de votre projet au sein de l’entreprise. Elles permettront également de faire face plus facilement aux risques qui ont pu être identifiés.

La mise en place de procédures à suivre en cas de violation de données est aussi très importante.

N’hésitez pas à prévoir une communication claire et synthétique des procédures et bonnes pratiques à suivre auprès de votre personnel.

Sous-traitance des données personnelles

Concernant la sous-traitance de données personnelles, il vous faut faire le point sur :

      • Vos relations contractuelles avec les personnes vis-à-vis desquelles vous êtes sous-traitants de données personnelles ;
      • Vos relations contractuelles avec vos propres sous-traitants de données personnelles.

Veillez à bien négocier et formaliser avec vos sous-traitants de données personnelles :

      • Les garanties et les mesures de sécurité ;
      • Les conditions de traitement des données ;
      • Le transfert des données à d’autres entités notamment hors Union européenne ;
      • La possibilité de faire appel à des sous-traitants ultérieurs.

Informer ses clients, prospects, visiteurs…

Les personnes concernées par un traitement de leurs données personnelles doivent avoir accès à une information accessible et complète.

Cette information doit mentionner  :

✅   Les finalités ou objectifs des traitements de données ;

✅   La base légale qui garantit la licéité des traitements ;

✅   Leurs droits sur leurs données et la manière de les exercer ;

✅L’éventuelle existence de transferts de données vers d’autres entreprises (sous-traitants, partenaires, etc.), notamment hors Union européenne ;

✅   Les différents destinataires des données personnelles ;

✅ La durée de conservation des données et les mesures de sécurité mises en place.

💡En tant que responsable de traitement, vous avez l’obligation de mettre en place des moyens simples et efficaces pour faciliter la réponse aux demandes d’exercice des droits qui vous sont  soumises par les personnes concernées.

Un délai de principe d’un mois est imposé pour répondre aux demandes.

6

Documentation de la conformité au RGPD

L’accountability

La CNIL définit l’accountability comme « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».

En d’autres termes, c’est l’obligation pour les entreprises de documenter les preuves de leur mise en conformité au RGPD.

N’hésitez pas à prévoir une communication claire et synthétique des procédures et bonnes pratiques à suivre auprès de votre personnel.

Démontrer sa conformité

Pour être en mesure de démontrer sa conformité au RGPD, vous devez pouvoir produire une documentation, décrivant l’ensemble des procédures et des bonnes pratiques appliquées par votre structure en matière de données personnelles. Cette documentation comprend notamment :

✅ Les registres : registre des activités de traitement et registre du sous-traitant de données personnelles.

✅ Les analyses d’impact réalisées pour les traitements qui présentent des risques pour les droits et libertés de personnes.

✅ Les clauses contractuelles et toute autre preuve de l’encadrement des transferts de données à des tiers établis en dehors de l’Union Européenne.

Comment démontrer ma mise en conformité ?
  • Les mentions d’information mises à la disposition des personnes concernées par les traitements ainsi que le recueil de leurs consentements le cas échéant.
  • La documentation concernant le traitement des demandes et la mise en place d’une procédure simple et accessible d’exercice des droits.
  • Le registre des violations de données répertoriant tout incident de sécurité ayant un potentiel impact sur les données personnelles et sur les droits et libertés des personnes.

Retrouvez nos bonnes pratiques et checklists dans les offres et l’application de conformité RGPD Lord Privacy !  💡

Découvrez les solutions Lord Privacy

Retrouvez nos bonnes pratiques et checklists dans les offres et l’application de conformité RGPD Lord Privacy !

Le sous-traitant de données personnelles

Le sous-traitant de données personnelles

Le sous-traitant de données personnelles : l’essentiel en 10 points

Sous-traitant RGPD

Le RGPD a été adopté dans une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Nous vous proposons de découvrir la notion de sous-traitant et les enjeux qui en découlent.

1

Définition sous-traitant de données personnelles

Les obligations issues du RGPD pèsent également sur les sous-traitants de données personnelles.

Le règlement définit le sous-traitant comme : « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. »

2

Qualification des parties : sous-traitant ou responsable de traitement ?

⚠️ Pour rappel, le responsable de traitement est la partie qui détermine les finalités (le « pourquoi ») et les moyens (le « comment ») d’un traitement de données personnelles. Pour plus d’informations sur le responsable de traitement, cliquez ici.

Le sous-traitant de données personnelles sera l’organisation qui va exécuter le traitement pour le compte et sur instruction d’un responsable de traitement.

Pour vous aider à déterminer la qualité des parties, vous pouvez vous reposer sur les indicateurs suivants :

✔️ le niveau d’instructions données par une partie à l’autre ;

✔️ l’autonomie dont dispose la partie qui reçoit les instructions dans la réalisation de ses missions ;

✔️ le niveau de contrôle exercé par la partie qui donne les instructions ;

✔️ l’expertise de la partie qui reçoit les instructions dans le domaine d’intervention ;

✔️ la valeur ajoutée dans le traitement des données apportée par la partie qui reçoit les instructions ;

✔️ la communication de l’identité du prestataire aux personnes concernées (clients, collaborateurs, etc.) par le traitement.

Un responsable de traitement dispose d’un niveau d’autonomie important dans la détermination des finalités et des moyens de traitement. Ses prestations sont effectuées sous aucun contrôle de son client ou alors un contrôle très restreint.

Le sous-traitant a contrario dispose de très peu d’autonomie dans l’exécution de ses prestations et doit suivre les instructions précises de son client. Le traitement sera fait sous le contrôle du client, seul responsable de traitement.

💡 Exemple relation sous-traitant/responsable de traitement : le cas du cabinet d’experts comptables

Les activités qui impliquent un traitement de données personnelles par un prestataire pour le compte et sur instruction de ses clients sont susceptibles de faire qualifier le prestataire de sous-traitant de données personnelles. On peut citer :

Les métiers de services informatiques

Les métiers de services informatiques comme l’hébergement, la maintenance, l’intégration de logiciels, les sociétés de sécurité informatique et la cybersécurité. Un hébergeur sera considéré sous-traitant des données personnelles stockées dans un système cloud pour le compte de son client par exemple.

    Les agences de marketing et de communication

    Les agences de marketing et de communication seront qualifiées de sous-traitant de données personnelles dans le cadre d’une campagne d’e-mailing menée pour le compte d’un client grâce à son fichier prospects.

      Les cabinets d'experts comptables

      Les cabinets d’experts-comptables seront considérés comme sous-traitant des données personnelles des salariés de leurs clients.

        3

        La contractualisation de la sous-traitance

        Un contrat ou un acte juridique permet d’encadrer et d’organiser la relation entre un responsable de traitement et son sous-traitant (objet, durée, nature, catégories de données personnelles sous-traitées, finalités de traitement, etc.). Cet acte est l’occasion de définir les obligations et les responsabilités de chacune des parties. 📄 

        Le responsable de traitement doit vérifier que son sous-traitant présente les garanties suffisantes pour assurer la protection des données personnelles. L’acte peut définir des mesures à adopter afin de protéger les données personnelles. Le sous-traitant agit sur instruction du responsable de traitement et toute opération qui n’est pas prévue contractuellement doit faire l’objet d’un avenant ou d’un écrit.

        4

        Les obligations du sous-traitant

        Quelques obligations du sous-traitant :

        ✔️ garder une transparence sur la sous-traitance de données personnelles (registre du sous-traitant) ;

        ✔️ aider et assister le responsable de traitement pour traiter les demandes d’exercice de droit ;

        ✔️ mettre en place les mesures de sécurité nécessaires ;

        ✔️ recenser les instructions délivrées par le responsable de traitement ;

        ✔️ assister, alerter et conseiller le responsable de traitement dans sa mise en conformité ;

        ✔️ aider le responsable de traitement à mener des analyses d’impact (AIPD) avec consultation de l’autorité de contrôle le cas échéant ;

        ✔️ alerter le responsable de traitement en cas de violation de données, dès qu’il en prend connaissance et le cas échéant notifier la violation à la CNIL et/ou organiser la communication aux personnes concernées ;

        ✔️ etc.

        5

        Aide et assistance du responsable de traitement pour traiter les demandes d’exercice de droit

        Dans le cas où un sous-traitant est amené à recevoir une demande d’exercice de droit, il doit être en mesure d’assister le responsable de traitement pour y répondre.

        Le contrat ou l’acte juridique doit prévoir les modalités et les conditions dans lesquelles cette assistance est apportée. Il est important de veiller à ce que la procédure envisagée permette au  sous-traitant d’apporter une réponse rapide, et ce, selon des formalités faciles et efficaces (par exemple : une interface avec un suivi et une répartition des demandes en fonction du traitement concerné).

        6

        Garantir la sécurité des données sous-traitées

        Pour assurer la sécurité des données personnelles qui lui sont confiées, le sous-traitant doit mettre en place certaines mesures :

        ✔️ physiques : alarme anti-intrusion, clés de sécurité, vidéosurveillance, badges, dispositif anti-incendie, etc. ;

        ✔️ techniques : gestion des habilitations et des accès, traçabilité des données personnelles,  outils de sécurité informatique comme le chiffrement, coffre-fort de mot de passe sécurisé, etc. ;

        ✔️organisationnelles : sensibilisation au RGPD, formation des collaborateurs sur les bonnes pratiques à appliquer à leurs postes de travail, etc.

        7

        La documentation de la sous-traitance

        Lorsqu’une organisation traite des données pour le compte et sur instruction d’un ou plusieurs responsables de traitement elle doit tenir un « registre du sous-traitant ».

        Il se distingue du « registre des activités de traitement » qui ne concerne que les traitements de données personnelles effectués par un responsable de traitement pour son propre compte.

        Ce registre doit contenir :

        ✔️ les noms et coordonnées du ou des sous-traitants ;

        ✔️ les catégories d’activités de traitement effectuées pour le compte de chaque responsable de traitement ;

        ✔️ les noms et les coordonnées de chaque responsable de traitement pour le compte duquel le ou les sous-traitants agissent ;

        ✔️ le cas échéant les noms et coordonnées des délégués à la protection des données (DPO) des parties ;

        ✔️ le cas échéant la liste des pays tiers ou des organisations internationales vers lesquels les données sont transférées et la documentation des garanties ou des autorisations appropriées ;

        ✔️ une description générale des mesures de sécurité adoptées pour la protection des données personnelles.

        Outre ce registre, le sous-traitant doit pouvoir produire les preuves qu’il a agi sur instruction du responsable de traitement. Il doit conserver et recenser l’ensemble des instructions reçues de sa part.

        Il doit tenir à disposition du responsable de traitement toute information ou documentation pour prouver sa conformité au RGPD.

        Le responsable de traitement est en principe la personne qui porte la responsabilité de la protection des données personnelles qu’il sous-traite. Toutefois, un sous-traitant peut subir des sanctions en cas de manquement à ses obligations. Le responsable de traitement qui subit un préjudice du fait de son sous-traitant peut prétendre à des dommages et intérêts en réparation de son préjudice.

        La CNIL peut également prononcer des sanctions à l’encontre des deux parties en cas de manquement à leurs obligations.

        📣 Le 27 janvier 2021, elle a sanctionné un responsable de traitement (150 000 €) et son sous-traitant (75 000 €) pour ne pas avoir mis en place des mesures de sécurité suffisantes pour faire face à des cyber-attaques de type « credential stuffing ».

        8

        Le recours par un sous-traitant à un sous-traitant « ultérieur »

        Un sous-traitant peut avoir recours à un ou plusieurs sous-traitants ultérieurs sous certaines conditions.

        L’autorisation écrite préalable du responsable de traitement est nécessaire. Cette autorisation peut être spécifique à certaines tâches, ou plus générale. Si l’autorisation est générale, le sous-traitant devra informer le responsable du traitement de tout recours à un sous-traitant ultérieur ou son remplacement afin de lui permettre d’émettre des objections.

        💡 La CNIL recommande que le contrat prévoit une clause relative à la sous-traitance ultérieure ainsi que les modalités d’autorisation applicables.

        Le sous-traitant ultérieur devra respecter a minima un niveau de sécurité équivalent et les mêmes obligations contractuellement fixées.

        Le sous-traitant initial reste pleinement responsable des actions du sous-traitant ultérieur devant le responsable de traitement. Il doit aussi tenir à jour une liste des sous-traitants « ultérieurs » dans son registre.

        9

        La réutilisation des données sous-traitées

        Le sous-traitant de données personnelles a le droit de réutiliser pour son propre compte les données personnelles qui lui ont été confiées. Cependant, il doit s’assurer que :

        ✔️ l’utilisation qu’il en fait est compatible avec l’opération de traitement qui lui a été confiée (en fonction des finalités) ;

        ✔️ le responsable de traitement lui a donné une autorisation écrite spécifique.

        Le responsable de traitement pourra évaluer la compatibilité du traitement initial avec la réutilisation prévue par le sous-traitant.

        Par exemple, un hébergeur de données souhaite utiliser les données personnelles qui lui sont transmises par ses clients pour améliorer ses prestations « cloud computing ». Cette réutilisation est compatible avec le traitement initial d’hébergement. En revanche, la réutilisation de ces données pour faire de la prospection commerciale ne serait pas compatible.

        Le responsable de traitement initial doit informer les personnes concernées que leurs données ont été transférées vers un nouveau responsable. Le sous-traitant devient responsable du nouveau traitement (dans notre exemple, amélioration des prestations de cloud computing). Il doit en assurer la conformité au RGPD : information des personnes, durées de conservation, minimisation, exercice des droits, mesures de sécurité, etc.

        10

        Le sous-traitant doit-il avoir un DPO ?

        L’obligation de désigner un DPO auprès de la CNIL est la même pour un responsable de traitement que pour un sous-traitant, à savoir :

        ✔️ lorsque la structure en question est une autorité publique ou un organisme public ;

        ✔️ lorsque les activités de traitement consistent en des opérations de traitement qui exigent un suivi régulier des personnes à grande échelle ;

        ✔️ lorsque les activités de traitement consistent en des opérations à grande échelle sur des données sensibles ou relatives à des condamnations pénales et infractions.

        Si la structure en question ne relève pas des catégories ci-dessus, la désignation du DPO n’est pas obligatoire.

        Pour plus d’informations sur le DPO, nous vous proposons notre article à ce sujet.

        Le délégué à la protection des données

        Le délégué à la protection des données

        Le délégué à la protection des données (DPO)

        Responsable de traitement, pilote de la mise en conformité.

        DPO DÉFINITION

            • DPD : Délégué à la Protection des Données
            • DPO : Data Protection Officer (acronyme anglais)

        Le Délégué à la Protection des Données ou Data Protection Officer (DPO) est désigné par le responsable de traitement. Le DPO est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de la structure qui l’a désigné. Véritable « chef d’orchestre » de la protection des données, il occupe un rôle central dans la gouvernance des données personnelles.

        Il informe, conseille et accompagne le responsable de traitement en matière de protection des données personnelles et assure le contrôle du respect des obligations légales et règlementaires. Parmi ses missions, le DPO doit également assurer la documentation de la conformité de la structure.

        Point de contact entre l’organisme qui le désigne et la CNIL, il est par ailleurs l’interlocuteur privilégié pour répondre aux questions relatives aux données personnelles.

        Aujourd’hui, on compte près de 30 000 personnes (physiques ou morales) en France qui exercent cette fonction pour 80 000 organismes ayant désigné un DPO.

        MISSIONS DU DPO

        DPO OBLIGATOIRE ?

        Comment savoir si votre organisme doit désigner un délégué à la protection des données ? Le DPO est-il toujours obligatoire ?

        Le RGPD prévoit trois cas dans lesquels une entité est dans l’obligation de désigner un DPO. Peu importe que l’organisme soit responsable de traitement ou sous-traitant de données personnelles, la désignation du DPO est obligatoire pour :

        ✔️ les autorités ou les organismes publics (exemple : une collectivité territoriale) ;

        ✔️ les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle (exemple : les fournisseurs de services de téléphonie ou internet) ;

        ✔️ les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

        Dans les cas où la désignation d’un délégué à la protection des données n’est pas obligatoire, la structure peut tout de même procéder volontairement à la désignation d’un DPO.

        En ce sens, la CNIL recommande de procéder à la désignation d’un DPO dès lors qu’une entreprise rencontre des problématiques relatives à la protection des données personnelles. Cela présente en effet l’avantage de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données.

        COMMENT DÉSIGNER UN DPO ?

        Il n’existe pas de profil type pour exercer la fonction de DPO. Selon une étude réalisée concernant les DPO par l’AFPA en partenariat avec la CNIL  :

        ✔️ environ 28 % des DPO ont un profil informatique ;

        ✔️ le même pourcentage un profil juridique ;

        ✔️ et les 43 % restant ont quant à eux travaillé dans l’administratif, la finance, la conformité, l’audit, etc.

        Le RGPD impose toutefois que le délégué dispose d’un certain niveau d’expertise. L’organisme doit également veiller à l’absence de conflit d’intérêts avec d’autres missions.

        Le RGPD précise que le DPO est désigné « sur la base » de ses qualités professionnelles et ses capacités à accomplir ses missions (voir schéma « missions du DPO »). Les qualités professionnelles du DPO incluent, entre autres, ses connaissances du droit et des pratiques en matière de protection des données.

        Pour la désignation d’un DPO, les points suivants sont à prendre en compte :

        ✔️ les connaissances et compétences de la personne pressentie pour être DPO ;

        ✔️ l’absence de conflit d’intérêts ;

        ✔️ la formalisation de la désignation auprès de l’autorité compétente ;

        ✔️ la garantie de son indépendance ;

        ✔️ la mise à disposition des moyens nécessaires à l’exécution de ses missions.

        S’assurer qu’il dispose des connaissances et de compétences suffisantes :

        ✔️ une expertise juridique et technique en matière de protection des données personnelles ;

        ✔️ de bonnes connaissances sur le secteur d’activité et de la réglementation sectorielle applicable ;

        ✔️ une bonne compréhension de l’organisation interne et en particulier des opérations de traitement, du système d’information et des besoins de l’organisme ;

        ✔️ concernant une autorité publique ou un organisme public, une bonne connaissance des règles et procédures administratives applicables.

        Le niveau d’expertise dépend de la sensibilité, de la complexité et du volume de données traitées par la structure. En tout état de cause, si la personne pressentie comme DPO ne possède pas un niveau de connaissances « adéquat » avant son entrée en fonction, il faudra nécessairement développer ses connaissances par des formations.

        Le DPO doit également présenter des qualités personnelles : intégrité, haut niveau d’éthique professionnelle, capacité relationnelle et de communication pour vulgariser et convaincre.

         

        Absence de conflit d’intérêts 

        Si le DPO peut exercer d’autres fonctions au sein de la structure, il ne doit toutefois pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitement.

        Le DPO ne doit et ne peut pas être « juge et partie » concernant les activités de traitement de données personnelles. L’existence d’un conflit d’intérêts s’apprécie au cas par cas. Sont le plus souvent citées comme des fonctions susceptibles de provoquer un conflit d’intérêts : directeur général des services, directeur des opérations, responsable des ressources humaines, médecin-chef, responsable du département marketing, responsable du service informatique, etc.

        Enfin, il est conseillé de documenter l’analyse conduisant à exclure l’existence d’un conflit d’intérêts.

         

        Formaliser et communiquer sur sa désignation

        Concernant la formalisation et la communication de la désignation du DPO, il convient de  :

        ✔️ formaliser la désignation d’un DPO par un acte juridique ou un document spécifique comme une lettre de mission, un avenant au contrat de travail, un contrat de prestation de service (si DPO externe), etc ;

        ✔️ mener une communication auprès des collaborateurs, IRP et autres organes de l’entreprise sur la fonction et les coordonnées du DPO désigné. Les personnes concernées internes à l’entreprise doivent pouvoir le joindre facilement (exemple : note d’information à l’ensemble du personnel) ;

        ✔️ procéder à la désignation auprès de l’autorité de contrôle compétente. Une organisation qui travaille dans plusieurs pays, dont la France, doit s’assurer que la CNIL bien est l’autorité compétente. Si l’autorité compétente est la CNIL, la désignation du délégué doit se faire en ligne via le téléservice dédié.

        Assurer son indépendance dans l’exécution de ses missions de DPO :

        ✔️ pas de sanctions pour l’exercice de ses fonctions de DPO, il n’est pas responsable en cas de non-conformité au RGPD. Il ne peut pas être licencié dans l’exercice de ses fonctions ;

        ✔️ pas d’instruction dans le cadre de l’exercice de ses missions de DPO ;

        ✔️ pas de conflit d’intérêts en cas de cumul de fonctions.

        L’indépendance du DPO signifie également qu’il doit être en capacité de s’adresser directement au niveau le plus élevé de l’organisation sur une problématique spécifique, s’il l’estime nécessaire. D’autre part, le délégué doit être soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.

         

        Mettre à sa disposition les moyens nécessaires pour compléter ses missions de DPO

        Les ressources nécessaires à la réalisation des tâches du DPO doivent être mises à sa disposition, ce qui signifie notamment que le DPO doit avoir :

        ✔️ assez de temps pour effectuer ses missions ;

        ✔️ des moyens humains et matériels adéquats ;

        ✔️ accès aux informations utiles (aux données et aux opérations de traitement par exemple) ;

        ✔️ accès le plus tôt possible à toutes les questions relatives à la protection des données lors de la création ou de l’évolution d’un traitement (notamment pour veiller au respect des principes de protection de données à la conception ou par défaut) ;

        ✔️ des moyens d’entretenir ses connaissances spécialisées.

        ÉTUDE AUPRÈS DES DPO : LES CHIFFRES CLÉS

        Le délégué à la protection des données peut être interne à l’organisme (membre du personnel de l’organisme), externe (sur la base d’un contrat de prestation de service) et/ou mutualisé entre plusieurs entités.

        Une étude de 2020 du ministère du Travail, de l’Emploi et de l’Insertion, pour laquelle 1660 DPO désignés auprès de la CNIL ont été interrogés, précise que :

        ✔️ 72 % sont des DPO internes

        ✔️ 13 % sont des DPO internes mutualisés

        ✔️ 15 % sont des DPO externes

        FAQ

        Les organismes privés chargés d’une mission de service public ont-ils l’obligation de désigner un DPO comme les organismes publics ou les autorités publiques ?

        Les organismes privés chargés d’une mission de service public conservent leur statut de droit privé et ne sont donc pas tenus de désigner un DPO en principe. Il leur est toutefois fortement conseillé d’en désigner un dans les lignes directrices relatives au DPO du CEPD.

        Comment savoir si un traitement de données remplit le critère de grande échelle ?

        Une analyse au cas par cas est nécessaire pour évaluer si un traitement est réalisé à grande échelle. Toutefois, il n’y pas de seuil applicable à toute situation. Les facteurs à prendre en compte sont les suivants : le nombre de personnes concernées, le volume ou le spectre des données traitées, la durée/permanence du traitement, l’étendue géographique de l’activité de traitement.

        Un DPO doit-il être certifié pour qu’il soit désigné auprès de la CNIL ?

        Non, la certification est un gage de qualité ou de compétence. Toutefois, un DPO n’a pas l’obligation d’être certifié.

        Comment déterminer si une personne présente un risque de conflit d’intérêts entre ses missions de DPO et ses autres fonctions ?

        Pour savoir si une personne présente un risque de conflit d’intérêts il faut étudier si elle détermine ou participe à la détermination de finalités et moyens d’un ou plusieurs traitement de données personnelles. Le DPO ne peut pas être « juge et partie ».

        Est-ce que je peux désigner plusieurs DPO pour une même structure ?

        Un organisme ne peut désigner qu’un seul DPO. Une équipe peut toutefois venir prêter main forte au délégué à la protection des données pour accomplir ses missions.

        Un salarié peut-il refuser d’être désigné DPO ?

        Oui, si sa désignation constitue une modification substantielle de son contrat de travail.

        Le DPO peut-il être responsable de la non-conformité au RGPD d’un organisme ?

        Le délégué à la protection des données n’est pas responsable si le RGPD n’est pas respecté par la structure qui l’a désigné. Il incombe au responsable de traitement de s’assurer que les traitements sont effectués conformément au RGPD et d’être en mesure de le démontrer. Même une délégation de pouvoir ne saurait opérer un transfert de responsabilité (car risque de conflit d’intérêts).

        Le DPO interne peut-il être sanctionné pénalement ou civilement dans l’exercice de ses missions ?

        Comme tout salarié, le DPO peut voir sa responsabilité pénale engagée s’il enfreint des dispositions pénales ou s’il se rend complice d’infractions dans le cadre de missions. Toutefois, la responsabilité civile du DPO pour l’exercice de ses fonctions ne peut pas être mise en jeu s’il s’agit d’un DPO salarié. En application du principe de la responsabilité civile de l’employeur du fait de ses préposés, l’action civile ne pourra être engagée que contre le responsable de traitement.

        Découvrez nos offres

        Qu’est-ce qu’un responsable de traitement ?

        Qu’est-ce qu’un responsable de traitement ?

        Responsable de traitement RGPD : 

        Le responsable de traitement au sens du RGPD est la personne morale (entreprise ou collectivité par exemple) ou physique qui détermine : les moyens et les finalités d’un traitement.

        Lorsque le responsable de traitement est une personne morale, elle sera incarnée par son représentant légal (PDG, maire par exemple).

         

        Responsable de traitement, pilote de la mise en conformité.

        LE RÔLE DU RGPD

        Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement de leurs données et à la libre circulation de ces données.

        Il a pour but d’harmoniser les législations européennes sur les données personnelles mais aussi de responsabiliser les acteurs et d’encadrer l’utilisation de la data. Il permet de protéger les individus notamment en renforçant leurs droits et la maîtrise de leurs données personnelles.

        Le RGPD a été adopté en avril 2016 et il est entré en application le 25 mai 2018. En France, il vient compléter et renforcer les dispositions de la loi informatique et libertés de 1978.

        LES FINALITÉS ET LES MOYENS D’UN TRAITEMENT

        Si une entreprise/organisation décide « pourquoi » et « comment » les données à caractère personnel devraient être traitées, elle est donc le responsable du traitement.

        Pour rappel, chaque activité de traitement doit avoir une ou plusieurs finalités.

        La finalité de traitement, c’est l’objectif, ou ce pourquoi les données sont utilisées.

         Elle est :

        ✔️ déterminée en amont du traitement ;

        ✔️ spécifique : elle ne doit pas être trop large comme « augmenter le chiffre d’affaires de l’entreprise » ;

        ✔️ et légitime.

        Les moyens du traitement regroupent :

        ✔️ les moyens techniques (exemple : le matériel, les mesures de sécurité)  ;

        ✔️ les moyens humains (exemple : les personnes mises à contribution au sein de l’organisme) ;

        ✔️ les moyens organisationnels (exemple : les tiers qui ont accès aux données).

        Il peut arriver qu’un organisme s’associe à un ou plusieurs autres pour décider conjointement « pourquoi » et « comment » les données à caractère personnel devraient être traitées. Ils seront alors responsables conjoints de l’activité de traitement.

        En pratique, cette relation doit être encadrée par un acte juridique qui permet de déterminer les responsabilités de chacun et ainsi se conformer au RGPD.

        OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

        Quelles sont les obligations principales du responsable de traitement au regard du RGPD ?

        ✔️ Mettre en place un registre des activités de traitement.

        Ce registre contient les différentes informations relatives aux activités de traitement effectuées sous sa responsabilité telles que : les finalités de traitement, les catégories de personnes concernées, les données ou catégories de données traitées, les durées de conservation des données, etc.

        ✔️ Tenir une documentation (accountability) pour prouver sa mise en conformité au RGPD (registres du sous-traitant et des violations de données, analyse d’impact le cas échéant, etc.).

        ✔️ Mettre en place des mesures organisationnelles et techniques pour assurer la sécurité des données qu’il collecte et stocke.

        ✔️ Coopérer avec l’autorité de contrôle, en France la CNIL.

        ✔️ Dans certains cas, nommer un DPO (par exemple, lorsque le responsable de traitement est un organisme public comme une collectivité territoriale).

        ✔️ Mettre en place les mesures nécessaires pour respecter les droits des personnes concernées : accès, modification, opposition, etc.

        En tant que responsable de traitement, vous souhaitez faire le point sur votre mise en conformité ? Répondez à notre autodiagnostic RGPD !

        Découvrez nos offres

        Pin It on Pinterest