Oui, c’est bien le RGPD (Règlement Générale sur la Protection des Données) et non la RGPD, comme beaucoup de personnes le pense.
Pourquoi ? Car le RGPD n’est une pas une réglementation mais un Règlement qui est le nom donné à une catégorie de loi européenne.
Le RGPD encadre l’utilisation des données des personnes situées au sein de l’Union européenne et renforce les droits des personnes.
Tout le monde !
Que vous soyez une entreprise privée, une association, une fondation, un organisme public, le RGPD s’applique à vous dès lors que vous traitez des données personnelles de personnes situées au sein de l’Union européenne.
Et personne n’y échappe car vous traitez forcément des données personnelles (ex : nom, prénom, adresse email, etc.), y compris si vous êtes situées en dehors de l’Union européenne (ex : Canada, USA, Chine, etc.).
Le RGPD a renforcé les droits des personnes et sensiblement augmenté le montant des amendes en cas de manquement qui peuvent atteindre jusqu’à 4% du CA mondial.
Pour résumé, le RGPD contient plusieurs chantiers dont :
Réaliser un seul de ces chantiers n’est pas suffisant et la CNIL sanctionne les structures qui ne sont pas intégralement en conformité avec le RGPD.
Le RGPD comprend deux volets : Une face visible et une face cachée. Ces deux volets sont :
Informer les clients et prospects ! (face visible de l’iceberg)
Contrôler vos prestataires techniques ! (face cachée de l’iceberg)
Si vous êtes un prestataire, il faut publier le DPA (Data Protection Agreement) en ligne. Dans tous les cas, faite l’audit de vos prestataires et faite en sorte qu’ils se mettent en conformité RGPD.
Par principe, une mise en conformité peut être longue à faire, mais c’est plus un investissement de début. Par la suite, il est surtout question d’évolutions.
Étapes de la mise en conformité RGPD :
Étape 1 :
Réalisation d’un audit des traitements de données auprès de toutes les équipes du client (ressources humaines, communication, etc.) afin d’identifier les traitements qu’ils effectuent (gestion de la paie, vidéoprotection, etc.) et les données traitées (données d’identification, données économiques et bancaires, etc.).
Étape 2 :
Rédaction des documents en fonction des résultats de l’audit réalisé (politique de confidentialité des données, accord de protection des données, registre des activités de traitement, …).
Il s’agit de toute information permettant d’identifier une personne physique directement ou indirectement (Nom, prénom, adresse mail, carte de paiement, numéro de téléphone, identifiant, numéro de sécurité sociale, adresse IP, photo d’un visage, vidéo montrant une personne, etc)
Le traitement des données personnelles sous-entend le traitement des données à caractère personnel de personnes physiques (collecte d’informations par l’intermédiaire d’une fiche de renseignements, d’un bordereau d’inscription, d’un questionnaire, d’un formulaire de contact, d’un formulaire d’inscription à une newsletter, etc)
Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquats. (Définition de la CNIL)
Le DPO s’assure du respect des règles sur les données personnelles pour l’organisme par lequel il a été nommé. Le DPO a un rôle qui s’articule autour de 4 axes :
4. Le DPO assure la documentation des traitements des données
La désignation d’un délégué à la protection des données est obligatoire pour :
La CNIL recommande une bonne pratique : dès que l’organisme rencontre des problématiques liées relatives à la protection des données personnelles, la désignation d’un DPO est recommandée pour identifier et coordonner les actions.
Interne
Le DPO peut être nommé au sein de l’organisme. Il a la possibilité d’exercer d’autres activités dans l’organisme.
Toutefois, il ne doit pas y avoir de conflit d’intérêts notamment s’il devient responsable d’un traitement ou type de traitement. Ses autres activités doivent également lui laisser suffisamment de temps pour exercer son rôle de DPO.
Externe
Le DPO peut être mutualisé entre plusieurs organisme ou dit « Externe ». Cela permet une meilleure indépendance vis-à-vis de la direction de l’organisme.
Il s’agit aussi de DPO dont c’est le métier au quotidien, expérimentés et qui peuvent interagir facilement avec leur communauté de DPO. Attention toutefois, le RGPD est récent, les niveaux de formations de DPO sont très hétérogènes. Certaines formations de DPO ne durent en effet que quelques jours ou semaines.
Mutualisé
Un DPO, qu’il soit interne ou externe, peut être mutualisé entre plusieurs entités. Cela permet de lisser les coûts, d’uniformiser les pratiques et de partager des enseignements sur le sujet entre ces entités.
Il n’y a pas de profil type mais il y a plusieurs prérequis à respecter. Pour assurer l’ensemble de son rôle, des connaissances sont nécessaires :
.
Il s’agit d’une liste d’exigences réduite mais qui décrit un profil très peu représenté en entreprise. En cas de manque partiel, le DPO pourra être formé. Il pourra aussi mobiliser des expertises internes ou externes.
Au-delà des connaissances, le profil du DPO est également important : intégrité, éthique. Il doit aussi être un bon pilote capable de communiquer, vulgariser et convaincre.
Il est clé pour une entreprise que son DPO ait également une grande ouverture au business. En effet, le DPO est un pilote, intégré aux réflexions de l’entreprises pour trouver des solutions qui respectent les règles et maximisent la valeur pour l’entreprise !
Dans certaines sociétés, il y a des projets nécessaires à la croissance de l’entreprise qui ont été arrêtés pour un “blocage” RGPD. Il convient d’être vigilant sur ce point.
Aujourd’hui le métier dont sont issues les DPO est varié : 28% de profils techniques, 28% de profils juridiques et 44% de profils administratifs, financiers ou de l’audit.
📜 Il existe des certifications reconnus par la CNIL attestant des formations suivies par le DPO : l’Afnor, CESI certification, Apave certification, iapp, lsti, LCP, SGS, Bureau Veritas et PECB.
Il s’agit d’un gage de confiance dans le cadre d’une embauche ou de la signature d’un contrat avec une société de prestation qui fournit un service de DPO externalisé.
Le DPO n’est pas responsable du non-respect du RGPD au sein de l’organisme qui l’a désigné. C’est le responsable du traitement qui est responsable. Au même titre, le sous-traitant est responsable du respect de ses obligations vis-à-vis du RGPD.
Toutefois, il peut voir sa responsabilité pénale engagée s’il enfreint intentionnellement les dispositions pénales ou en tant que complice s’il aide le responsable du traitement ou le sous-traitant à enfreindre ces dispositions pénales.
Le DPO est soumis au secret professionnel ou à une obligation de confidentialité. Cela doit être inscrit dans son contrat ou dans le contrat de prestation de service.
Le choix du DPO doit tenir compte de l’ensemble des points mentionnés précédemment pour qu’il puisse remplir son rôle à 100%.
Pour la réussite de ses missions, il est important de formaliser les activités du délégué à la protection des données dans une lettre de mission pour un DPO interne ou un contrat de prestation de service dans le cadre d’un DPO externe.
Une communication doit être effectuée au sein de l’organisme pour informer de la nomination (email, intranet, affichage…). Chaque employé/membre doit comprendre le rôle du DPO et être conscient qu’une politique sur le sujet est en place. Il doit également être identifié et joignable.
Le DPO doit être nommé auprès de la CNIL via l’espace dédié « désignation en ligne » de la CNIL si l’organisme se trouve en France sinon auprès de l’organisme de contrôle compétent. La liste des DPO et l’organisme pour lequel il est rattaché est disponible sur le site de la CNIL “Organismes ayant désigné un(e) délégué(e) à la protection des données (DPD/DPO) – data.gouv.fr“
Tout d’abord, un DPO externe se désigne auprès de la CNIL comme étant le DPO d’une entreprise. Il peut être une bonne solution pour les TPE et les PME car en termes de cout financier, il est possible de mutualiser un DPO externe qui travaille au sein de plusieurs organismes. L’entreprise n’aura donc pas à embaucher un salarié supplémentaire expert dans ce domaine.
Un DPO externalisé pourra s’adapter à la taille d’une entreprise et aura un niveau d’expertise élevé. Il pourra donc traiter les sujets RGPD plus efficacement.
Dipeeo peut vous mettre en conformité RGPD en étant votre DPO externe. Il vous accompagnera, main dans la main, dans toutes les démarches à suivre pour être conforme. De plus, avec Dipeeo, non seulement vous gagnez un temps considérable, mais il rend le RGPD presque sympa. Tous les documents sont fournis dans les plus brefs délais et s’il vous arrive un sujet RGPD comme une mise en demeure, Dipeeo intervient et fait le nécessaire auprès de la CNIL pour résoudre vos problèmes.
Pour plus d’informations, vous pouvez cliquer ici.
Avantage concurrentiel
La CNIL va s’attaquer à la prospection commerciale en 2022
Retirez la case à cocher des formulaires sous certaines conditions !
Préparez des réponses explicatives sur le respect du RGPD dans le cadre des campagnes de prospection
Prospectez des emails génériques
Pour plus d’informations, vous pouvez cliquer ici.
Aucune technique n’est pas “non-conforme” par principe, c’est-à-dire que toutes les techniques (marketing automation, etc.) sont licites dès que les règles élémentaires sont respectées. Cependant, certaines techniques sont plus dangereuses que d’autres (ex : marketing automation) ou scraping d’informations.
Ce qui est important, c’est la méthode de travail. Toute techniques peut être conforme. Il faut savoir si vous respectez bien les règles ou pas.
Faire attention aux outils utilisés et à la qualité des messages
Les différentes options pour gérer sa conformité sur le long terme
Budget moyen : 5/6k par an
Planning : plusieurs mois pour la conformité initial en moyenne
Contrairement aux idées reçues, les principaux risques RGPD ne proviennent pas de la CNIL.
Même si la CNIL peut prononcer des amendes administratives allant jusqu’à 4% du CA annuel mondial et peut également imposer de publier la sanction sur votre site internet, les risques viennent plutôt :
Pire encore, les effets négatifs d’une non-conformité au RGPD sont presque invisibles mais pourtant bien réels !
Aujourd’hui, 66% des français, d’après un sondage Ifop, indiquent être prêts à renoncer à un service numérique en cas de manquement au RGPD.
Plus concrètement, si le client a le choix entre vous qui n’êtes pas conforme et votre concurrent qui est conforme, le client aura tendance à choisir votre concurrent !
Les sanctions et amendes liées au RGPD sont délivrées par les autorités de contrôle telles que la CNIL en France. Celle-ci doit répondre à un système de sanctions graduelles.
La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité chargée du contrôle du RGPD. Elle a pour rôle de veiller au respect du RGPD et un devoir de vigilance, de dissuasion et de fermeté si jamais il y a des manquements des responsables de traitements et des sous-traitants.
Inscrivez-vous pour recevoir nos articles, les conseils RGPD
— moins d’un e-mail par mois —
En cliquant, vous acceptez de recevoir notre newsletter. Pour plus d’infos, consultez notre Politique de confidentialité.
En principe non !
Mais, soyez rassurez, il existe des exceptions qui permettent le transfert de ses informations hors de l’UE.
Donc si vous souhaitez utiliser un prestataire situé hors de l’UE, il faut d’abord vérifier que les transferts soient contractuellement encadrés.
A défaut, c’est votre responsabilité qui est engagée !
Oui et sans exception sinon votre responsabilité sera engagée !
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.