Nos Offres d’accompagnement

Tarif (à Titre indicatif) : entre 700 et 800 € HT / Jour

Audit

– Visite des locaux

– Entretien avec le Responsable du traitement (gérant)

– Entretiens individuels avec les membres de l’équipe

– Recueil des informations

Registre de Traitement

Le registre de traitement est un document de recensement et d’analyse. C’est un document nécessaire à la conformité.

L’article 30 du Règlement général sur la protection des données indique :

« 1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

5. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »

Exemple de registre de traitement : lien vers le modèle de registre de la CNIL sur la page :

Vérification et Rédaction des Clauses, Contrats, Avenants aux contrats

L’intégralité des contrats devront être mis en conformité avec le RGPD :

– contrat de sous-traitance,

– contrat de travail avec les salariés,

– contrat avec les fournisseurs,

– contrat avec les clients.

S’agissant des contrats de sous-traitance l’article 28 du RGPD indique :

« (…) Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l’article 32;

d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. »

La CNIL a mis en ligne des clauses types de sous-traitance qu’il convient de personnalisées :

Charte Informatique

Ll est important de sensibiliser les utilisateurs sur les enjeux en matière de sécurité et de vie privée.

Pour cela, la rédaction d’une charte informatique est indispensable.

La CNIL recommande qu’une telle charte contienne au moins les éléments suivants :

  1. Le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.
  2. Le champ d’application de la charte, qui inclut notamment :
  • les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme ;
  • les moyens d’authentification utilisés par l’organisme ;
  • les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure notamment de :
    • signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
    • ne jamais confier son identifiant/mot de passe à un tiers ;
    • ne pas installer, copier, modifier, détruire des logiciels sans autorisation ;
    • verrouiller son ordinateur dès que l’on quitte son poste de travail ;
    • ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur ;
    • respecter  les  procédures  préalablement  définies  par  l’organisme  afin  d’encadrer  les  opérations  de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.

    3. Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition comme :

  • le poste de travail ;
  • les équipements nomades (notamment dans le cadre du télétravail) ;
  • les espaces de stockage individuel ;
  • les réseaux locaux ;
  • les conditions d’utilisation des dispositifs personnels ;
  • Internet ;
  • la messagerie électronique ;
  • la téléphonie.

4 Les conditions d’administration du système d’information et l’existence le cas échéant de :

  • systèmes automatiques de filtrage ;
  • systèmes automatiques de traçabilité ;
  • gestion du poste de travail.

5.les responsabilités et sanctions encourues en cas de non respect de la charte.

 

Analyse d'Impact

L’article 35 du Règlement général sur la protection des données indique :

  1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.
  2. Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.
  3. L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:
  1. a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  2. b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou
  3. c) la surveillance systématique à grande échelle d’une zone accessible au public.
  1. L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68.
  2. L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise. L’autorité de contrôle communique cette liste au comité.
  3. Avant d’adopter les listes visées aux paragraphes 4 et 5, l’autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l’article 63, lorsque ces listes comprennent des activités de traitement liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union.
  4. L’analyse contient au moins:
  1. a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;
  2. b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
  3. c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et
  4. d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
  1. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l’article 40 est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.
  2. Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.
  3. Lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis, que ce droit règlemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question, les paragraphes 1 à 7 ne s’appliquent pas, à moins que les États membres n’estiment qu’il est nécessaire d’effectuer une telle analyse avant les activités de traitement.
  4. Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.