FAQ

Tous les organismes (entreprises, associations, fondations, fonds de dotations...) doivent-ils être en conformité avec le RGPD ?

Oui, parce qu’un organisme qui ne détient pas de données personnelles cela n’existe pas et quelle que soit sa taille, l’entreprise a des obligations à respecter vis à vis des tiers comme ses fournisseurs, partenaires et salariés.

Une entreprise peut-elle se déclarer en conformité sans qu’une date de conformité ne soit précisée ?

Oui, dans le cas où un Délégué à la protection des données (DPO) est déclaré à la CNIL, c’est lui qui maintient en temps réel cette conformité sur la base des demandes et des déclarations de l’entreprise.

À quoi correspond le terme "organisme" utilisé dans le RGPD ?

Ce terme désigne tous les types d’organisations, entreprises , auto entrepreneurs, associations, SCI…

Quelle est l'obligation d'obtenir un consentement ?

Les questions auxquelles il faut répondre en se mettant à la place du consommateur :

  • Que vont-ils faire de mes données ?
  • Sont-elles protégées ?

Obtenir un consentement libre et éclairé

Lorsque le consommateur est prêt à vous donner son consentement, le formulaire au travers duquel les données vont être recueillies doit être clair, et doit détailler les différents cas de figure dans lesquelles vous souhaitez utiliser ses données.

Précisez par exemple avec un rédactionnel clair, non interprétatif, que les adresses mails ne sont pas communiquées à qui que ce soit (pas de partenariats et autres) tout en sachant qu’il y a des partenariats légitimes comme par exemple les banques pour le débit de la carte bancaire.

Précisez la durée du consentement et qu’au-delà de ce délai le consentement tombe et le consommateur et ne peut plus être contacté, à moins que des relations commerciales se soient nouées dans l’intervalle. Dans ce cas, vous pourrez le contacter uniquement pour des raisons relatives à la relation commerciale établie, mais rien d’autre ou pour organiser la demande d’un nouveau consentement un ou deux mois avant la date d’échéance du consentement d’origine.

L’accès au registre des traitements contenant ces fichiers doit être limité dans le temps et doit faire l’objet d’une documentation indiquant qui y a accès (tracabilité).

Qu'en est-il de la provenance, de l'origine des données personnelles ?

N’achetez pas, ne louez pas, n’utilisez pas d’adresses mails, de SMS, de numéros de fax sans avoir acquis juridiquement la certitude écrite d’une entreprise certaine de l’origine et de la conformité de ceux-ci.

Vous devez pouvoir justifier et expliquer l’origine des adresses mails que vous détenez ou utilisez, ainsi que l’utilisation qui vous en a été consentie dans le cadre du consentement.

Il n’est pas légal de demander un consentement permettant d’utiliser une adresse mail pour tous motif (le consentement n’aura aucune valeur) ni de détourner un consentement spécifique qui concerne par exemple une newsletter sur les voitures de marque Porsche et d’envoyer des informations sur une autre marque de voiture.

Pouvons-nous continuer à utiliser les adresses mail, numéros de téléphones antérieurs au RGPD ?

Non, il faudra obtenir leur consentement préalable en ayant détaillé clairement la finalité du traitement, même si vous étiez déjà en relation antérieurement, en leur envoyant un mail expliquant la raison de la démarche.

Pourquoi ?

Au moment, de l’inscription comme membre, ou simplement comme lecteur de votre newsletter, les conditions d’utilisation des données personnelles de ces consommateurs n’avaient pas été définies comme le prévoit la RGPD.

Il faut donc repartir de zéro avec les nouvelles règles.

Cette démarche peut se faire au travers d’un formulaire en place sur votre site, blog ou RS par exemple.

Le formulaire d’inscription devra contenir dans le détail les conditions du consentement pour l’utilisation des informations demandées.

Si vous n’avez pas de réponse à la demande de consentement au terme d’une relance et d’un délai raisonnable vous devrez purger les adresses mails concernées des fichiers concernés.

Quel est le délai pour légal pour répondre aux demandes d'accès ?

Un mois maximum, sauf situation exceptionnelle justifiable, à compter de la demande d’accès.

Une fois la mise en conformité faite, est-elle acquise en permanence ?

Non, la conformité est constatée à un instant “T” sur la base des déclarations que l’entreprise aura faites et sous réserve qu’elle ait bien déclaré tous ses traitements.

Pour que cette conformité puisse être valable de façon permanente, l’entreprise doit nommer un DPO qui suivra en temps réel l’activité de l’entreprise pour lui maintenir cette conformité.

La mise en conformité permet-elle d'obtenir directement de la CNIL une certification ?

La CNIL ne délivre pas de certification de conformité, elle s’appuie sur des organisations externes telles que Euro Data Protection pour que celles-ci certifient conforme l’entreprise au RGPD sous leur responsabilité.

Euro Data Protection délivre un label privé de certification de conformité que l’entreprise pourra utiliser dans le cadre de sa communication sur ses différents supports, site web, réseaux sociaux, carte de visite, accompagné d’une attestation détaillée.

 

Le renouvellement d'une conformité peut-elle être faite ponctuellement à la demande de l'entreprise ?

Oui, mais un nouveau processus de conformité devra être réalisé comme à l’origine.

Quel est la mission du délégué à la protection des données (DPO) ?

Il est la caution légale de l’entreprise pour réaliser, mettre en place et maintenir l’entreprise en conformité avec le RGPD.

Ce qui signifie qu’un lien direct doit s’établir tant avec la direction de l’entreprise  qu’avec les différents services traitant, ou pouvant être amenés à traiter l’organisation d’un processus portant sur l’utilisation de données personnelles.

Quel avantage de produire un label de certification de conformité de l'entreprise au RGPD ?

D’être certifié conforme au RGPD en permanence.

Euro Data Protection a mis en place un label de certification privé. Pour obtenir la délivrance de ce label, l’entreprise doit avoir  à la fois mandaté Euro Data Protection en tant que DPO auprès de la CNIL, et s’être engagée  sur le respect du suivi des règles et recommandations pour le RGPD édictées par son DPO.

La nomination, la désignation d'un DPO est-elle obligatoire ?

Non, exception faite dans certains cas de figures comme les établissements publics, les assurances, les entreprises traitant des volumes importants de données personnelles et celles qui traitent des données sensibles comme par exemple la santé, les sondages…Mais dans la plupart des cas, ce n’est pas obligatoire. Toutefois pour la délivrance d’un label de certification permanente c’est une obligation chez Euro Data Protection. Par ailleurs, la CNIL préconise fortement la désignation d’un DPO.

Le chiffrement est-il "LA SOLUTION" pour être mis en conformité ?

Non, parce qu’il faut tout d’abord mettre en place les éléments de fond à cette conformité sur les aspects réglementaires, mais une fois ceux-ci mis en place, le chiffrement pourrait contribuer à en protéger certaines parties.

C’est un des éléments qui indéniablement peut y contribuer, mais il crée aussi suivant la technique mise en oeuvre des contraintes, et des exigences.

Par exemple il faudra répondre à ce type de question :

 

  • Qui crée, détient, conserve et comment attribuer aux salariés en charge les mots de passe individuels ?
  • Qui génère et attribue les mots de passe, qui gère la suppression des accès, ou encore décide de changer les mots de passe ?
  • Il faudra générer des mots de passe forts et difficilement mémorisables, il faudra qu’ils soient gérés par un outil approprié appelé gestionnaire de mot de passe.
  • Il peut être nécessaire  de créer et faire signer un document juridique par les personnes à qui le mot de passe a été remis expliquant les procédures en cas de situation critique.

Il serait peut- être préférable de s’assurer dans un premier temps des conditions de sécurité du réseau, de s’assurer qu’il n’y a pas de faille de sécurité dans les différents logiciels, que les différents paramétrages aient bien été faits, d’organiser les mises à jour demandées par les éditeurs.

La maîtrise à la fois des aspects réglementaires et informatiques par le prestataire qui va mettre en conformité l'entreprise est-il un avantage ?

Oui incontestablement puisque la question du RGPD concerne en grande partie le secteur du numérique., Il sera nécessaire de mettre en œuvre techniquement parlant les recommandations des aspects réglementaires faites par le DPO dans le système d’informations de l’entreprise.

Quel relation entre gouvernance et RGPD ?

La gouvernance fait partie intégrante du RGPD. Celui-ci ne se veut pas uniquement réglementaire, le législateur a souhaité responsabiliser les organismes sur ce point.

La partie conceptuelle de cette gouvernance doit tendre vers la manière dont les utilisateurs perçoivent, conçoivent et acceptent ce qui va être fait de leurs données personnelles.

Les organismes ne faisant pas les efforts nécessaires prennent le risque de se voir pointer du doigt, sur les réseaux sociaux entre autres.

Nous intervenons en conseillant l’organisme afin qu’il ne soit pas critiquable, mais bien sûr, c’est le dirigeant qui décide finalement de suivre complétement, partiellement ou pas du tout nos recommandations.

Ne pas être critiquable permet à l’organisme de démontrer la prise en compte de sa responsabilité sociale ou sociétale.

La CNIL, au fait c’est quoi ?

La CNIL a été créée par la loi Informatique et Libertés du 6 janvier 1978.

Elle est chargée de veiller à :

La protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

A ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

La CNIL est une autorité administrative indépendante (AAI), c’est-à-dire un organisme public qui agit au nom de l’Etat, sans être placé sous l’autorité du gouvernement ou d’un ministre. Elle est composée de 18 membres élus ou nommés et s’appuie sur des services.

Elle a un rôle d’alerte, de conseil et d’information vers tous les publics mais dispose également d’un pouvoir de contrôle et de sanction.

Des notes prises et conservées sur une feuille de papier lors d'un entretien téléphonique avec un client sont-elles constitutives d’un fichier de données personnelles soumis au RGPD ?

Oui.

Faut-il informer ses clients, ses usagers de l'enregistrement ou de l'écoute des conversations téléphoniques ?

Oui,chaque interlocuteur (particulier, client, etc.) doit être informé au moment de son appel :

De l’objectif de l’opération ;

Des destinataires des écoutes ou enregistrements (service de formation, service client, etc.) ;

De son droit d’opposition ;

De son droit d’accès aux enregistrements ;

Cette information peut être réalisée par la diffusion d’un message en début d’appel ou par une mention particulière dans les contrats ou documents d’information ; la durée de conservation des enregistrements devra être également y être précisée.

A quoi correspond la notion de "NOTICE TO NOTICE"

La notion du « notice to notice » signifie que lorsqu’un manquement est signalé dans le système d’information d’une entité juridique en relation avec le Règlement Général sur la Protection des Données (RGPD), et après vérification de notre part, son dirigeant en sera informé officiellement.

Si, dans un délai raisonnable, l’organisme confirme avoir pris note de l’erreur et s’engage à la rectifier dans le meilleur délai, la procédure s’arrête là, tout en vérifiant que dans un délai acceptable les engagements de modifications ont bien été effectués.

Si après deux relances l’organisme n’a pas répondu, il est considéré que l’organisme assume ce manquement à la conformité au Règlement Général sur la Protection des Données (RGPD) et une plainte contextualisée sera déposée entre autres auprès de la CNIL et du tribunal compétent en la matière.

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées. De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.