AU RGPD

• Si votre organisme est situé dans un pays de l’Espace Economique européen ;
• Si votre organisme n’est pas situé dans cet espace mais propose des biens ou
  services à des personnes physiques situées dans cet espace ;
• Quelle que soit sa taille (entreprise unipersonnelle, auto-entrepreneur, TPE, PME)
• Quelle que soit sa nature (association, société commerciale, établissement public)
  il est concerné par le RGPD et doit, sous peine de sanctions, être conforme à ce
  règlement.

• Envoyer des informations RH par mail (ex: bulletins de paie arrêt maladie, etc.)
• Permettre à tout le monde au sein de l’entreprise, d’accéder à tous les types
  dossiers
• Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs
  utilisateurs)
• Stocker les données personnelles sensibles (ex : copie de carte vitale, arrêts
  maladies, etc.) dans des environnements et dossiers non sécurisés
• Conserver les données personnelles (des clients / salariés / sous-traitants, etc.)
  au-delà de la finalité qui a justifié leur collecte et après extinction de l’action
  en justice
• Avoir des sous-traitants ou partenaires ne présentant pas de garanties suffisantes
  en matière de protection des données personnelles (ne pas vérifier la conformité du
  sous-traitant, ne pas insérer de clauses RGPD dans les contrats)
• Ne pas veiller à une conformité continue de l’organisme (diagnostics de conformité
  réguliers, sensibilisation des salariés, mises à jour des procédures, chartes et
  registre, revue des process internes)
• Avoir un site internet non sécurisé (http) et / ou des mentions légales non
  conformes
• Déposer des cookies sur les terminaux des utilisateurs sans recueillir leur
  consentement au préalable
• Ne pas prévoir dans les newsletters, des possibilité de se désinscrire de façon
  effective
• Etc.

En cas de non-respect, votre organisme s’expose à des sanctions de la part
de l’autorité de contrôle, en France il s’agit de la CNIL, la Commission Nationale de
l’informatique et des Libertés. Il peut s’agir, selon la nature du manquement :

• • d’un rappel à l’ordre ;
  • d’une injonction de mettre le traitement en conformité, y compris sous astreinte ;
  • d’une limitation temporaire ou définitive d’un traitement ;
  • d’une suspension des flux de données ;
  • d’une injonction de satisfaire aux demandes d’exercice des droits des personnes, y
    compris sous astreinte ;
  • d’une amende administrative qui peut aller jusqu’à 20 millions d’euros ou dans le
    cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial

Les critères permettant de fixer la sanction en sa nature ou son montant peuvent
être :

• la nature, gravité et du durée de l’infraction ou du manquement,
• le nombre de personnes concernées, catégories de données concernées,
• la commission délibérée de l’infraction ou par négligence,
• les infractions antérieurement commises,
• le degré de coopération avec l’autorité de contrôle,
• les mesures prises pour atténuer les dommages subis par les personnes

Veuillez trouver plus de détails ici Il
peut s’agir

Une donnée personnelle est toute information relative à une personne
physique, dès lors que la personne peut être identifiée soit directement avec
l’information détenue, soit indirectement avec l’ensemble des informations la
concernant pouvant être accessibles et en fonction des moyens techniques
d’identification pouvant être raisonnablement mis en œuvre.

Exemple de données d’identification directe :

• • Noms des salariés, des clients, des clients des clients, des salariés des clients,
    etc.
  • Photographie
  • Email
  • Carte bancaire
  • Bulletin de paie
  • Enregistrement de communication (voix)

Exemple de données d’identification indirecte

• • Tous numéros ou codes d’identification
  • Donnée pseudonymisée
  • Adresse IP…
  • Et toute autre information se rapportant à une personne dès lors qu’’on dispose
    d’une seule information susceptible de l’identifier

À noter que certaines catégories de données personnelles doivent faire l’objet de
mesures de sécurité renforcées. Il s’agit des données sensibles énumérées
limitativement à l’article 9 du RGPD :

• Origines raciales ou ethniques
• Opinions politiques
• Convictions philosophiques ou religieuses
• Appartenance syndicale
• Santé (physique ou mentale)
• Vie ou orientation sexuelle
• Données génétiques
• Données biométriques

Veuillez trouver plus de détails ici l’article 9 du RGPD

• Toutes les données personnelles traitées par les organismes, quel que soit le
  support (papier, numérique, etc.) et quel que soit le type de traitement (collecte,
  modification, enregistrement, communication, consultation, suppression, etc.)
  doivent être protégées.
• Il existe un catégorie de données personnelles dites sensibles, prévues à l’article
  9 du RGPD et dont le traitement est par principe interdit. Il s’agit par exemple des
  données de santé, les données biométriques, les données permettant de déterminer la
  race, les opinions politiques, l’orientation sexuelle, etc.
• Malgré le principe d’interdiction, ces données peuvent néanmoins, être traitées
  sous certaines exceptions limitatives prévue à l’alinéa 2 de l’article 9 du RGPD
• À noter que la protection des données personnelles prévue par le RGPD ne concerne
  que les données de personnes physiques, à l’exception de celles de personnes
  morales.

Pour s’assurer votre activité est faite dans le respect des exigences du
RGPD, il y a quelques précautions élémentaires à prendre :

• • Mettre en œuvre le protocole TLS afin de garantir l’authentification du serveur, la
    confidentialité et l’intégrité des données échangées
  • Limiter les ports de communication (autoriser uniquement https et bloquer tous les
    autres ports)
  • Limiter l’accès aux outils et interfaces d’administration aux seules personnes
    habilitées.
  • Informer l’internaute et recueillir son consentement avant le dépôt de cookies

En outre, vous devez être transparent vis-à-vis des personnes concernées, notamment
grâce aux mentions obligatoires à faire figurer sur votre site internet ou vos
plateformes. Ces mentions tiennent à :

• • l’identification de l’entrepreneur ou de la société
  • la nature de l’activité exercée
  • les mentions relatives à l’utilisation de cookies informer les internautes de la
    finalité des cookies obtenir leur consentement fournir aux internautes un moyen de
    les refuser

Doivent également figurer des mentions relatives à l’utilisation de données
personnelles :

• Coordonnées du DPO ou du référent protection des données personnelles
• Finalité poursuivie par le traitement auquel les données sont destinées
• Caractère obligatoire ou facultatif des réponses et conséquences éventuelles à
  l’égard de l’internaute d’un défaut de réponse
• Destinataires ou catégories de destinataires des données
• Droits d’opposition, d’interrogation, d’accès et de rectification
• Au besoin, les transferts de données à caractère personnel envisagés à destination
  d’un État n’appartenant pas à l’Union européenne
• Base juridique du traitement de données
• Mention du droit d’introduire une réclamation (plainte) auprès de la Cnil

Veuillez trouver plus de détails ici précautions élémentaires

Un traitement de données personnelles se définit comme toute opération ou
tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et
appliquées à des données ou des ensembles de données à caractère personnel. La notion
de traitement est donc très vaste, et recouvre l’ensemble des opérations mises en œuvre
durant le cycle de vie d’une donnée :

• Collecte (directe ou indirecte) ;
• Enregistrement (dans une base de données, peu importe que le support soit
  électronique ou non ;
• Consultation (depuis un support électronique ou papier ;
• Communication ( transfert de données y compris) ;
• Modification
• Conservation (en base active ou archivage) ;
• Suppression (purge)

Une violation de données personnelles est un incident de sécurité,
d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant
comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité
de données personnelles

Il s’agit d’une violation de la sécurité entrainant de manière
accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non
autorisée de données à caractère personnel transmises, conservées ou traitées d’une
autre manière, ou l’accès non autorisé à de telles données. Par exemple :

• l’envoi à un mauvais destinataire, d’un courrier électronique comportant des
  informations personnelles d’une autre personne physique ;
• la suppression accidentelle de données personnelles conservées par un organisme et
  non sauvegardées par ailleurs ;
• la perte d’une clef USB non sécurisée contenant une copie de la base clients d’une
  société ;
• le vol d’un ordinateur non protégé par une mesure de chiffrement ;
• l’introduction malveillante dans une base de données scolaires et modification des
  résultats obtenus par les élèves Etc.

Veuillez trouver plus de détails ici violation de données personnelles

Tous les organismes traitant des données personnelles doivent mettre en
place une organisation et des mesures afin d’éviter la survenance d’un incident
susceptible d’affecter des données personnelles. Ils doivent également s’organiser de
façon à réagir efficacement en cas de survenance d’un tel incident. Les obligations
prévues par le RGPD visent à éviter qu’une violation cause des dommages ou des
préjudices aux organismes comme aux personnes concernées.

Lorsqu’une violation se produit, les obligations sont fonction du risque
que pourrait avoir la violation sur les droits et libertés des personnes concernées.
Ainsi :

• Si la violation n’entraîne aucun risque, l’organisme doit la documenter,
  c’est-à-dire la consigner dans le registre des violations ;
• Si la violation entraîne un risque, l’organisme doit, en plus de documenter,
  notifier la CNIL dans les 72 heures de la survenance de la violation ;
• Si la violation entraîne un risque élevé, en plus de documenter et notifier la
  CNIL, l’organisme doit informer les personnes concernées dans les meilleurs délais

Veuillez trouver plus de détails ici Les obligations prévues

L’un des objectifs du RGPD est de renforcer les droits des personnes et de
faciliter leur exercice. C’est pourquoi les droits existants avant le RGPD ont été
renforcés, et de nouveaux droits ont été créés.

Les droits renforcés sont :

• • le droit d’accès ;
  • le droit de rectification ;
  • le droit d’opposition ;
  • le droit à l’effacement ou à l’oubli.

Les nouveaux droits sont :

• • le droit à la portabilité
  • le droit à la limitation du traitement ;
  • le droit de ne pas faire l’objet d’une décision automatisée, y compris le profilage

En cas de demande d’exercice de droits, l’organisme dispose d’un mois pour répondre.

Ce délai peut être dépassé à condition d’être justifié

• Chaque entreprise est libre de s’organiser à sa guise, y compris dans le cadre de
  sa démarche conformité. Il est généralement recommandé de désigner un.e référent.e
  qui aura la charge de s’assurer du respect des obligations réglementaires.
• Mais la mise en conformité au RGDP est un processus qui prend beaucoup plus de
  temps pour les non-initiés.
• Heureusement, le logiciel SMC Protect permet aux organismes de taille petite et
  moyenne de prendre en main leur conformité de manière totalement autonome, grâce à
  ses modules couvrant l’ensemble des axes de la conformité, les modèles de documents
  à personnaliser, les tutoriels pour faciliter une prise en main de l’outil, et la
  possibilité d’être accompagné ponctuellement par un.e consultant.e spécialisé.e en
  protection des données personnelles.
• Ainsi, votre organisme peut se consacrer à son activité, dans le respect des
  exigences réglementaires en matière de protection des données personnelles, le tout
  sans que cela ne soit chronophage et n’affecte la productivité de l’organisme.