[RGPD] Le registre des activités de traitement est-il vraiment systématique ?

6 avril 2018 Leo Guittet 0

Le Règlement général relatif à la protection des données (RGPD) impose-t-il à toutes les entreprises d’avoir un registre des activités de traitement ? Près d’un répondant sur deux à nos questionnaires ne connaît pas la bonne réponse à cette question pourtant essentielle. Pourtant, il s’agit là d’une notion socle du RGPD qui entrera en application dans moins de deux mois. Le registre des activités de traitement est le document grâce auquel tout responsable de traitement recense les traitements de données personnelles qu’il effectue en y indiquant leurs spécificités propres. Leur utilité est d’avoir toutes les informations utiles réunies dans un seul document de cadrage. Le caractère obligatoire ou facultatif de tenir à jour un tel document semble assez confus dans l’esprit des entreprises. Le registre des activités de traitement peut être obligatoire… Prévu à l’article 30 du RGPD, le registre des activités de traitement est en principe obligatoire pour tous les responsables de traitement. Le registre des activités de traitement doit nécessairement être sous forme écrite, même s’il est réalisé électroniquement. Le RGPD dresse la liste de tous les types d’informations qui doivent figurer dans le registre : le nom et les coordonnées du responsable du traitement, les finalités du […]

Protection des données (RGPD) : les 3 modifications de la loi au Sénat

22 mars 2018 Leo Guittet 0

Le projet de loi relatif à la protection des données visant à suradapter le droit français au RGPD reçoit petit-à-petit de nouvelles briques au fil des discussions au Parlement. Comme nous vous l’annoncions, les débats au Sénat ont repris le 20 mars et les sénateurs ont, dès la première journée, déjà apporté quelques modifications intéressantes à souligner.    Les objets connectés intégrés dans la loi « RGPD » Le groupe Union Centriste, par la voix de Catherine Morin-Desailly, a ajouté un alinéa non négligeable à l’article 1 du projet de loi. Cet alinéa précise que la CNIL peut décider de certifier des objets connectés, qui font l’objet d’une commercialisation directe auprès des consommateurs, afin de reconnaître officiellement qu’ils sont conformes au RGPD, mais pas seulement. La certification portera également sur la possibilité pour les utilisateurs de désactiver la collecte des données ainsi que sur la mise en oeuvre d’une sécurité répondant à des exigences élevées. Un décret devra définir les modalités de certification par la CNIL.  Par effet domino, nous nous doutons bien que les entreprises commercialisant des objets connectés et qui n’obtiennent pas une telle certification RGPD risqueront d’être fortement pénalisées dans leur activité. Il n’y a qu’à espérer que la […]

Protection des données : testez votre connaissance du RGPD

22 mars 2018 Redaction 0

Décider & Entreprendre vous aide à être conforme au RGPD ! Découvrez, pas à pas, ce que vous devez savoir pour ne pas être en risque à l’entrée en vigueur du Règlement général relatif à la protection des données et éviter une amende qui pourrait atteindre 4% de votre chiffre d’affaires. Trois outils pour comprendre le RGPD Vous pouvez accéder à trois nouveaux outils pour que le RGPD n’ait plus aucun secret pour vous. Deux questionnaires vous aident d’abord à comprendre les enjeux et les obligations que le RGPD fait peser sur tous ceux qui traitent des données personnelles.  Le premier questionnaire recouvre les bases du Règlement et vous propose une mise à niveau pour que vous connaissiez toutes les notions essentielles.  Le second questionnaire approfondit les règles posées par le RGPD et vous permet d’évaluer votre maîtrise du dispositif.  Chaque questionnaire vous apporte évidemment les réponses nécessaires pour enrichir vos connaissances.  Pour compléter ces deux étapes et aller plus loin dans votre appréhension du RGPD, un guide comprenant tous les bons conseils pour réussir votre conformité sera disponible dès la semaine prochaine ! N’attendez plus et découvrez si le RGPD est encore un mystère pour vous !

Protection des données : la Commission européenne ne respecte pas (encore) le RGPD

2 mars 2018 Leo Guittet 0

Pour les entreprises, se voir imposer des règles contraignantes, telles que le Règlement général pour la protection des données (RGPD), par des autorités qui ne l’applique pas est rageant. A l’approche de l’entrée en application du RGPD le 25 mai 2018, il nous a donc semblé intéressant de faire le test avec le site de la Commission européenne, surprise, surprise… Le consentement obtenu grâce à une case à cocher Si l’on se rend sur une page du site de la Commission européenne permettant de poser une question écrite (voir ici), on observe que le consentement au traitement de nos données personnelles s’obtient simplement en cochant une case. Ladite case est accompagnée de la mention « J’ai lu et j’accepte les conditions relatives à la protection des données« . Cette simplicité, que nous avions déjà évoquée dans cet article, nous montre que les entreprises devraient pouvoir reprendre ce formalisme basique pour se conformer au RGPD. Toutefois, il ne faut pas oublier qu’un renvoi doit être fait vers une liste d’informations devant être délivrées à l’individu dont les données personnelles sont recueillies dans le cadre du RGPD, ce que la Commission européenne semble faire. La Commission européenne oublie trois éléments du RGPD Lorsque des […]

Protection des données (RGPD) : cinq astuces pour simplifier votre conformité

1 mars 2018 Leo Guittet 1

Pour se mettre en conformité avec le Règlement général pour la protection des données (RGPD), les responsables de traitements et autres directeurs des systèmes d’information sont soumis à un stress certain. Quelques astuces peuvent être utilisées pour ne pas oublier de zones d’ombres et se simplifier la tâche de mise en conformité. Connaissez les lieux de stockage des données personnelles Pour être sûr de ne pas se trouver en contradiction avec le RGPD lors de son entrée en vigueur le 25 mai 2018, tout responsable de traitement doit savoir où sont stockées les données personnelles qu’il traite car des mesures spécifiques s’appliquent si les données sont traitées dans un pays tiers. L’article 44 du RGPD précise en effet que tout transfert de données personnelles en dehors des frontières de l’Union européenne ne peut être légal que sous certaines conditions exclusives l’une de l’autre. La première possibilité repose sur une validation, par la Commission européenne, de la protection des données personnelles dans le pays tiers destinataire (article 45 du RGPD). On parle de décision d’adéquation. La seconde possibilité joue si la Commission européenne n’a pas rendu de décision d’adéquation. Le transfert est possible à condition que des garanties appropriées soient prévues […]

RGPD : la protection des données personnelles ne se limite pas toujours à l’UE !

28 février 2018 Leo Guittet 0

Le Règlement général relatif à la protection des données (RGPD) soulève beaucoup de question chez les entrepreneurs européens. Son entrée en vigueur prévue pour le 25 mai 2018 oblige toutes les entreprises à s’y conformer dès lors qu’elles traitent des données personnelles. L’une des questions capitales concerne le champ d’application territorial de ce Règlement. Voici un point synthétique des informations à connaître. Le RGPD peut s’appliquer aux traitements « hors UE » Le RGPD concerne la protection des données personnelles traitées par tous les responsables de traitement et tous les sous-traitants dont l’activité de leur établissement situé en Union européenne consiste à traiter ce type de données. Cette précision, prévue par l’article 3, point 1 du RGPD, indique qu’il n’est pas important que le traitement en lui-même ait lieu en dehors de l’Union européenne. En effet, ce qui compte véritablement, c’est que l’établissement du responsable de traitement ou du sous-traitant, dont l’activité est le traitement des données personnelles, soit situé sur le territoire de l’UE. Tous les responsables de traitement et sous-traitant qui traitent des données personnelles en dehors de l’UE doivent donc être vigilants : ils n’échappent pas au RGPD à partir du moment où leur établissement est dans l’Union. Le […]

Protection des données : la CNAM épinglée par la CNIL

28 février 2018 Leo Guittet 2

Au moment où les entreprises sont mises sous pression à l’approche du Règlement général sur la protection des données (RGPD), la CNAM se fait épingler par la CNIL pour sa mauvaise protection des données des assurés… ironique n’est-ce pas ? Protection des données : Mise en demeure de la CNAM par la CNIL de Société Tripalio Le gendarme français de la protection des données donne ainsi trois mois à la CNAM pour se mettre en conformité avec les dispositions relatives à la protection et la sécurité des données des assurés dans le cadre du Système national d’information inter-régimes de l’assurance maladie (SNIIRAM). Rappelons que le SNIIRAM stocke des milliards de données de santé sur les assurés et sa taille atteint actuellement, si l’on prend en compte l’ensemble du Système national des données de santé (SNDS) dont le SNIIRAM est une partie intégrante, les 450 Téraoctets. La mise en demeure a été décidée le 8 février 2018 et a été publiée le 27 février 2018. Le système de protection des données de la CNAM est obsolète La Cour des comptes avait déjà soulevé, dans son rapport du 3 mai 2016, notamment de la page 42 à 47, des mesures de protection […]

RGPD : même le site de la CJUE n’est pas encore conforme !

27 février 2018 Leo Guittet 0

Les entreprises françaises, et plus largement européennes, commencent vraiment à se mettre en ordre de bataille pour se conformer au Règlement général sur la protection des données (RGPD). Nous pouvons, sans trop de risque, prédire que beaucoup de monde sera difficilement prêt le 25 mai 2018. Dès lors, il est amusant d’aller voir du côté des autorités européennes pour voir si leurs services ont pris les devants depuis la publication du règlement le 27 avril 2016. Nous avons choisi au hasard la Cour de Justice de l’Union européenne (CJUE) et son site « curia.europa.eu ». Le site internet de la CJUE n’est pas conforme au RGPD Si l’on se rend sur le formulaire de contact, il nous est proposé de donner notre adresse mail et notre nom de famille. Naïvement, on pourrait s’attendre à ce que toutes les obligations inhérentes au RGPD nous soient délivrées et que notre consentement au traitement de nos données personnelles soit demandé. Pourtant il n’en est rien comme on peut le voir sur l’image ci-dessous : Si nous cliquons sur « envoyer », le message s’envoie directement, sans qu’aucune information supplémentaire compatible avec le RGPD ne nous soit délivrée. Pour la transparence, nous repasserons… Cette impréparation montre bien que […]

RGPD : nos voisins européens aussi sont en retard

20 février 2018 Leo Guittet 0

Le Règlement général relatif à la protection des données (RGPD) est dans toutes les têtes depuis quelques semaines. Les entreprises (qui ne sont pas les seules à être concernées, loin de là !) commencent à prendre conscience de l’existence de ce Règlement et de ce que cela implique. Son entrée en vigueur prévue pour le 25 mai 2018 aura des impacts aussi bien sur les services de ressources humaines, que sur l’organisation interne des responsabilités. Bien que la mise en oeuvre du RGPD soit annoncée comme progressive par la Commission européenne, toutes les entreprises sont fortement invitées à s’adapter en amont… pas évident quand il reste quelques mois seulement et que la loi adaptant certaines dispositions du droit français est encore en discussion au Sénat. Cette prise de conscience tardive ne concerne pas que les français, nos voisins européens s’inquiètent aussi de l’entrée en vigueur très prochaine du RGPD et s’alarment des conséquences que cela pourrait avoir. RGPD : nos voisins sont aussi mal préparés que nous Nous pourrions penser que l’impréparation à l’entrée en vigueur d’un texte européen est une spécificité française (rappelons qu’en matière de protection des données, la directive européenne du 24 octobre 1995 qui devait être […]

Données personnelles (RGPD) : qui peut être responsable du traitement ?

16 février 2018 Leo Guittet 0

Le Règlement général sur la protection des données (RGPD) est monstre réglementaire qui fait parler de lui depuis plusieurs mois. En effet, son entrée en vigueur au 25 mai 2018 se rapproche et les entreprises commencent seulement à prendre conscience des travaux à réaliser pour s’y conformer. Cette conformité sera capitale, bien que des délais d’adaptation plus larges seront probablement admis, car des sanctions alourdies sont prévues par le RGPD. Les entreprises mettant en oeuvre un ou plusieurs traitements de données personnelles doivent donc désigner un responsable du traitement : voici les 3 choses à savoir sur le sujet. Le responsable du traitement : une personne morale ou physique Toute entreprise qui met en oeuvre en son sein un ou plusieurs traitements de données personnelles doit désigner un responsable du traitement. Ce responsable peut avoir sous sa houlette un ou plusieurs traitements différents en même temps. Le RGPD définit à son article 1 le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement« . Une personne morale peut donc être responsable du traitement, ce n’est pas nécessairement un individu. C’est à ce responsable qu’il appartient […]

1 2