FAQ

L’article 4 du règlement définit la donnée personnelle comme toute donnée qui permet d’identifier directement ou indirectement une personne.

On considère qu’elle est directement identifiante quand la donnée, à elle seule, permet de savoir qui est la personne concernée (une photo, par exemple).

Elle est indirectement identifiante quand elle ne permet pas, à elle seule, de savoir qui est la personne concernée, mais le permettra si je l’associe à une autre donnée.

Oui ! Toutes les entreprises situées sur le territoire de l’Union Européenne doivent respecter le règlement, dès lors qu’elles font un traitement de données personnelles.

Le règlement définit le traitement comme une opération ou un ensemble d’opérations effectué sur une donnée personnelle. L’opération est entendue ici au sens large, dans la mesure où la simple ouverture d’un fichier client, sans même y modifier des données, est un traitement de données personnelles.

Oui ! Vous devez détenir, et mettre à jour, un registre des demandes d’exercice de droits et un registre de violations de données. Il existe également le registre des activités de traitement, qui est obligatoire pour toute entreprise employant plus de 250 salariés. Les entreprises employant moins de 250 salariés bénéficient de dérogations quant à ce registre et doivent y indiquer uniquement les traitements récurrents (comme l’établissement de la paie par exemple), les traitements qui peuvent causer un risquer pour les droits et libertés des personnes, ainsi que les traitements de données dites sensibles. Enfin, les sous-traitants ont une obligation supplémentaire puisqu’ils doivent avoir un registre sous-traitant.

Les données sensibles sont celles qui concernent les appartenances syndicales, les opinions politiques, philosophiques ou religieuses, celles qui révèleraient une origine raciale ou ethniques, ou encore l’orientation sexuelle d’un individu, mais également celles qui concernent la santé d’une personnes ou des données génétiques ou biométriques.

Le registre des activités de traitement, c’est tout simplement la cartographie des traitements de données personnelles effectués par l’entreprise. Il est donc nécessaire d’y recenser tous les traitements, en indiquant quelles sont les données personnelles collectées, les mesures de sécurité mises en œuvre pour protéger ces données, les destinataires internes et/ou externes des données, la base légale justifiant la légalité du traitement…

Le registre de violations de données va, comme son nom l’indique, recenser toutes les violations de données subies par l’entreprise. La sécurité des données personnelles doit respecter 3 principes : elles doivent permettre de garantir l’intégrité, la disponibilité et la confidentialité des données. Si l’un de ces principes n’est plus garanti, il y a alors violation de données. Selon la gravité de la violation, il faudra également procéder à une notification auprès de la CNIL, voire alerter les personnes concernées.

Le registre de demandes d’exercice de droits va recenser toutes les demandes effectuées par les personnes concernées. Il servira à démontrer le respect du règlement notamment quant à la réponse apportée, et au temps que le responsable de traitement aura pris pour répondre à la personne.

Chaque personne dispose sur ses données personnelles de droits d’accès, de rectification, d’effacement, d’opposition, de limitation et à la portabilité de ses données. Enfin, elle a également des droits en lien avec les prises de décisions automatisées.

Si la tenue d’un registre sous-traitant n’est pas obligatoire, car il est possible de réserver une partie du registre des activités de traitement, la CNIL conseille toutefois de dissocier les deux registres. Il faudra indiquer dans le registre sous-traitant les traitements réalisés pour le compte des donneurs d’ordres, les clients du responsable de traitement. Car le chef d’entreprise a en effet une double casquette : celle de responsable de traitement de son entreprise, ainsi que celle de sous-traitant qui traite des données pour ses clients.

La nomination d’un délégué à la protection des données est obligatoire pour tous les organismes publics. S’agissant des organismes privés, cette nomination sera obligatoire lorsque l’organisme collecte, à grande échelle, des données sensibles ou des données relatives à des infractions, des condamnations pénales ou des mesures de sûretés.

Les entreprises françaises peuvent continuer à travailler avec des partenaires situés hors de l’Union Européenne, mais il faudra probablement prendre des garanties supplémentaires afin de s’assurer du respect du RGPD. Lorsque le pays dans lequel le partenaire commercial est basé a été l’objet d’une décision d’adéquation, le transfert des données d’un pays à l’autre ne pose aucun problème et ne demandera pas d’obtenir une autorisation de la CNIL. Dans les autres cas, il faudra soit utiliser des clauses contractuelles types, soit soumettre un arrangement administratif à une autorisation de la CNIL.