Q&A sur le RGPD

Dipeeo réponds aux questions fréquentes sur le RGPD, le rôle du DPO, les impacts sur votre activité

Définitions RGPD

Oui, c’est bien le RGPD (Règlement Générale sur la Protection des Données) et non la RGPD, comme beaucoup de personnes le pense.

Pourquoi ? Car le RGPD n’est une pas une réglementation mais un Règlement qui est le nom donné à une catégorie de loi européenne.

Le RGPD encadre l’utilisation des données des personnes situées au sein de l’Union européenne et renforce les droits des personnes.

Tout le monde !

Que vous soyez une entreprise privée, une association, une fondation, un organisme public, le RGPD s’applique à vous dès lors que vous traitez des données personnelles de personnes situées au sein de l’Union européenne.

Et personne n’y échappe car vous traitez forcément des données personnelles (ex : nom, prénom, adresse email, etc.), y compris si vous êtes situées en dehors de l’Union européenne (ex : Canada, USA, Chine, etc.).

Le RGPD a renforcé les droits des personnes et sensiblement augmenté le montant des amendes en cas de manquement qui peuvent atteindre jusqu’à 4% du CA mondial.

Pour résumé, le RGPD contient plusieurs chantiers dont :

  • l’information des personnes (ex : politique de confidentialité)
  • le registre des traitement
  • l’encadrement des prestataires techniques (ex : hébergement, emailing, newsletter, etc.)
  • l’encadrement des transferts hors UE de données (notamment vers un prestataire technique ou une filiale
  • les réponses aux demandes des personnes (ex : droit d’accès, droit à l’oubli, etc.).

Réaliser un seul de ces chantiers n’est pas suffisant et la CNIL sanctionne les structures qui ne sont pas intégralement en conformité avec le RGPD.

Le RGPD comprend deux volets : Une face visible et une face cachée. Ces deux volets sont :

Informer les clients et prospects ! (face visible de l’iceberg)

  • Publier une politique de confidentialité clients conforme
  • Publier une politique de confidentialité cookies conforme
  • Publier un bandeau cookies conforme
  • Publier des mentions d’information partout où c’est nécessaire
  • Publier un label de conformité

 

Contrôler vos prestataires techniques ! (face cachée de l’iceberg)

Si vous êtes un prestataire, il faut publier le DPA (Data Protection Agreement) en ligne. Dans tous les cas, faite l’audit de vos prestataires et faite en sorte qu’ils se mettent en conformité RGPD.

Par principe, une mise en conformité peut être longue à faire, mais c’est plus un investissement de début. Par la suite, il est surtout question d’évolutions.

Étapes de la mise en conformité RGPD : 🧐  

Étape 1 :         

Réalisation d’un audit des traitements de données auprès de toutes les équipes du client (ressources humaines, communication, etc.) afin d’identifier les traitements qu’ils effectuent (gestion de la paie, vidéoprotection, etc.) et les données traitées (données d’identification, données économiques et bancaires, etc.).  

Étape 2 :     

     Rédaction des documents en fonction des résultats de l’audit réalisé (politique de confidentialité des données, accord de protection des données, registre des activités de traitement, …).

Il s’agit de toute information permettant d’identifier une personne physique directement ou indirectement (Nom, prénom, adresse mail, carte de paiement, numéro de téléphone, identifiant, numéro de sécurité sociale, adresse IP, photo d’un visage, vidéo montrant une personne, etc)

Le traitement des données personnelles sous-entend le traitement des données à caractère personnel de personnes physiques (collecte d’informations par l’intermédiaire d’une fiche de renseignements, d’un bordereau d’inscription, d’un questionnaire, d’un formulaire de contact, d’un formulaire d’inscription à une newsletter, etc)

Délégué à la protection des données (DPO)

Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquats. (Définition de la CNIL)

Le DPO s’assure du respect des règles sur les données personnelles pour l’organisme par lequel il a été nommé. Le DPO a un rôle qui s’articule autour de 4 axes :

  1. Conseiller et accompagner : apport d’expertise et diffusion de la culture et du respect des règles RGPD
  2. Contrôle : Le DPO peut vérifier personnellement ou mandater un audit externe pour s’assurer du respect des règles.
  3. Point de contact de l’organisme pour tous les sujets de protection des données personnelles :
  • Avec la CNIL :
    • Il facilite les échanges avec la CNIL et peut l’interroger la sur une question. La CNIL refusera de répondre à un responsable de traitement qui n’aura pas consulté auparavant son DPO. Il sera le point de contact principal lors d’un contrôle ou une plainte mais ne pourra pas représenter seul l’organisme.
  • Avec les personnes dont les données personnelles sont traitées :
    • Il prend en charge les différentes demandes. Il peut s’agir de demandes de droit d’accès mais également pour tout autre question au sujet de leurs données.

       4. Le DPO assure la documentation des traitements des données

      • La documentation est un pilier du RGPD permettant notamment d’être en capacité de respecter les règles et de le prouver en cas de contrôle. Il s’agit du principe d’ « accountability ».
      • De nombreux éléments doivent donc être intégrés dans la documentation, notamment : le registre des traitements,  registre des violations de données, les mentions d’informations, les contrats de sous-traitance…
      • Le DPO s’assure de la tenue de cette documentation qui a pour objectif principal de piloter la conformité.

La désignation d’un délégué à la protection des données est obligatoire pour :

  • les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;
  • les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;
  • des organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

La CNIL recommande une bonne pratique : dès que l’organisme rencontre des problématiques liées relatives à la protection des données personnelles, la désignation d’un DPO est recommandée pour identifier et coordonner les actions.

Interne

Le DPO peut être nommé au sein de l’organisme. Il a la possibilité d’exercer d’autres activités dans l’organisme.

Toutefois, il ne doit pas y avoir de conflit d’intérêts notamment s’il devient responsable d’un traitement ou type de traitement. Ses autres activités doivent également lui laisser suffisamment de temps pour exercer son rôle de DPO.

Externe

Le DPO peut être mutualisé entre plusieurs organisme ou dit « Externe ». Cela permet une meilleure indépendance vis-à-vis de la direction de l’organisme.

Il s’agit aussi de DPO dont c’est le métier au quotidien, expérimentés et qui peuvent interagir facilement avec leur communauté de DPO. Attention toutefois, le RGPD est récent, les niveaux de formations de DPO sont très hétérogènes. Certaines formations de DPO ne durent en effet que quelques jours ou semaines.

Mutualisé

Un DPO, qu’il soit interne ou externe, peut être mutualisé entre plusieurs entités. Cela permet de lisser les coûts, d’uniformiser les pratiques et de partager des enseignements sur le sujet entre ces entités.

Il n’y a pas de profil type mais il y a plusieurs prérequis à respecter. Pour assurer l’ensemble de son rôle, des connaissances sont nécessaires :

  • Expertise juridique et technique sur la protection des données
  • Connaissance du secteur d’activité de l’organisme, de la réglementation du secteur et l’organisme lui-même
  • Les opérations de traitement, les systèmes d’information et les besoins de l’organisme en matière de protection et de sécurité des données

.

Il s’agit d’une liste d’exigences réduite mais qui décrit un profil très peu représenté en entreprise. En cas de manque partiel, le DPO pourra être formé. Il pourra aussi mobiliser des expertises internes ou externes.

Au-delà des connaissances, le profil du DPO est également important : intégrité, éthique. Il doit aussi être un bon pilote capable de communiquer, vulgariser et convaincre.

Il est clé pour une entreprise que son DPO ait également une grande ouverture au business. En effet, le DPO est un pilote, intégré aux réflexions de l’entreprises pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise !

Dans certaines sociétés, il y a des projets nécessaires à la croissance de l’entreprise qui ont été arrêtés pour un “blocage” RGPD. Il convient d’être vigilant sur ce point.

Aujourd’hui le métier dont sont issues les DPO est varié : 28% de profils techniques, 28% de profils juridiques et 44% de profils administratifs, financiers ou de l’audit.

📜 Il existe des certifications reconnus par la CNIL attestant des formations suivies par le DPO : l’Afnor, CESI certification, Apave certification,  iapp, lsti, LCP, SGS, Bureau Veritas et PECB.

Il s’agit d’un gage de confiance dans le cadre d’une embauche ou de la signature d’un contrat avec une société de prestation qui fournit un service de DPO externalisé.

Le DPO n’est pas responsable du non-respect du RGPD au sein de l’organisme qui l’a désigné. C’est le responsable du traitement qui est responsable. Au même titre, le sous-traitant est responsable du respect de ses obligations vis-à-vis du RGPD.

Toutefois, il peut voir sa responsabilité pénale engagée s’il enfreint intentionnellement les dispositions pénales ou en tant que complice s’il aide le responsable du traitement ou le sous-traitant à enfreindre ces dispositions pénales.

Le DPO est soumis au secret professionnel ou à une obligation de confidentialité. Cela doit être inscrit dans son contrat ou dans le contrat de prestation de service.

Le choix du DPO doit tenir compte de l’ensemble des points mentionnés précédemment pour qu’il puisse remplir son rôle à 100%.

Pour la réussite de ses missions, il est important de formaliser les activités du délégué à la protection des données dans une lettre de mission pour un DPO interne ou un contrat de prestation de service dans le cadre d’un DPO externe.

Une communication doit être effectuée au sein de l’organisme pour informer de la nomination (email, intranet, affichage…). Chaque employé/membre doit comprendre le rôle du DPO et être conscient qu’une politique sur le sujet est en place. Il doit également être identifié et joignable.

Le DPO doit être nommé auprès de la CNIL via l’espace dédié « désignation en ligne » de la CNIL si l’organisme se trouve en France sinon auprès de l’organisme de contrôle compétent. La liste des DPO et l’organisme pour lequel il est rattaché est disponible sur le site de la CNIL “Organismes ayant désigné un(e) délégué(e) à la protection des données (DPD/DPO) – data.gouv.fr

Tout d’abord, un DPO externe se désigne auprès de la CNIL comme étant le DPO d’une entreprise. Il peut être une bonne solution pour les TPE et les PME car en termes de cout financier, il est possible de mutualiser un DPO externe qui travaille au sein de plusieurs organismes. L’entreprise n’aura donc pas à embaucher un salarié supplémentaire expert dans ce domaine.

Un DPO externalisé pourra s’adapter à la taille d’une entreprise et aura un niveau d’expertise élevé. Il pourra donc traiter les sujets RGPD plus efficacement.

Dipeeo peut vous mettre en conformité RGPD en étant votre DPO externe. Il vous accompagnera, main dans la main, dans toutes les démarches à suivre pour être conforme. De plus, avec Dipeeo, non seulement vous gagnez un temps  considérable, mais il rend le RGPD presque sympa. Tous les documents sont fournis dans les plus brefs délais et s’il vous arrive un sujet RGPD comme une mise en demeure, Dipeeo intervient et fait le nécessaire auprès de la CNIL pour résoudre vos problèmes.

Prospection commerciale

  • La prospection est presque libre en B2B
  • La prospection est presque libre par voie postale et téléphonique
  • Utiliser des prestataires conformes RGPD
  • Toujours respecté l’Opt out
  • Toujours respecté la durée de conservation

 

Pour plus d’informations, vous pouvez cliquer ici.

Avantage concurrentiel

La CNIL va s’attaquer à la prospection commerciale en 2022

  • 72% des Français se disent opposés à ce que leurs données personnelles soient stockées en dehors de l’Union européenne
  • 66% des français indiquent pouvoir changer de prestataire s’il n’est pas conforme au RGPD d’après le sondage Ifop pour OVH en 2021.
  • Leadjet, Dropcontact, etc. misent désormais leur succès sur le respect du RGPD
  • Possibilité de disposer d’un label

 

Retirez la case à cocher des formulaires sous certaines conditions !

Préparez des réponses explicatives sur le respect du RGPD dans le cadre des campagnes de prospection

Prospectez des emails génériques

Pour plus d’informations, vous pouvez cliquer ici.

Aucune technique n’est pas “non-conforme” par principe, c’est-à-dire que toutes les techniques (marketing automation, etc.) sont licites dès que les règles élémentaires sont respectées. Cependant, certaines techniques sont plus dangereuses que d’autres (ex : marketing automation) ou scraping d’informations.

Ce qui est important, c’est la méthode de travail. Toute techniques peut être conforme. Il faut savoir si vous respectez bien les règles ou pas.

Faire attention aux outils utilisés et à la qualité des messages

Les différentes options pour gérer sa conformité sur le long terme

  • Logiciel métier DPO => nécessite de bonnes connaissances et un expert en interne
  • Cabinet de DPO externalisé => bon compromis
  • DPO interne => de moins en moins utilisé car c’est dans beaucoup de cas, moins efficace et le cout est élevé
  • Cabinet d’avocats => Très haut niveau de conformité mais de moins en moins utilisé car les prix sont excessifs et nécessite beaucoup trop de temps

Budget moyen : 5/6k par an

Planning : plusieurs mois pour la conformité initial en moyenne

Risques

Contrairement aux idées reçues, les principaux risques RGPD ne proviennent pas de la CNIL.

Même si la CNIL peut prononcer des amendes administratives allant jusqu’à 4% du CA annuel mondial et peut également imposer de publier la sanction sur votre site internet, les risques viennent plutôt :

  • de vos clients (en cas de plainte, demandes spécifiques, audit de conformité RGPD, etc.) qui peuvent engager votre responsabilité en cas de manquements
  • de vos salariés, le RGPD étant désormais l’un des principaux levier de négociation en cas de litige RH
  • de vos partenaires qui peuvent vous imposer une mise en conformité RGPD ou résilier des contrats en cas de manquements
  • de vos concurrents qui peuvent aisément déstabiliser votre structure en utilisant le RGPD

Pire encore, les effets négatifs d’une non-conformité au RGPD sont presque invisibles mais pourtant bien réels !

Aujourd’hui, 66% des français, d’après un sondage Ifop, indiquent être prêts à renoncer à un service numérique en cas de manquement au RGPD.

Plus concrètement, si le client a le choix entre vous qui n’êtes pas conforme et votre concurrent qui est conforme, le client aura tendance à choisir votre concurrent !

Les sanctions et amendes liées au RGPD sont délivrées par les autorités de contrôle telles que la CNIL en France. Celle-ci doit répondre à un système de sanctions graduelles.

😀 La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité chargée du contrôle du RGPD. Elle a pour rôle de veiller au respect du RGPD et un devoir de vigilance, de dissuasion et de fermeté si jamais il y a des manquements des responsables de traitements et des sous-traitants.

Inscrivez-vous pour recevoir nos articles, les conseils RGPD
— moins d’un e-mail par mois —

En cliquant, vous acceptez de recevoir notre newsletter. Pour plus d’infos, consultez notre Politique de confidentialité.

Questions fréquentes RGPD : Conformité RGPD

En principe non !

Mais, soyez rassurez, il existe des exceptions qui permettent le transfert de ses informations hors de l’UE.

Donc si vous souhaitez utiliser un prestataire situé hors de l’UE, il faut d’abord vérifier que les transferts soient contractuellement encadrés.

A défaut, c’est votre responsabilité qui est engagée !

Oui et sans exception sinon votre responsabilité sera engagée !

Vous n'avez pas trouvé la réponse à votre question ?

Transmettez-nous votre question RGPD. Nous vous répondrons sous 48h ouvrés par email
et nous l’ajouterons aux questions fréquentes RGPD pour que cela puisse profiter à tous.

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.