Vous êtes sur la page 1sur 21

Mise en application du RGPD

Auteur : Silvia Pinto-Châtelier Date de publication : 05 juillet 2018


direction.juridique@fimeca.org
01 47 17 60 34

Le Règlement Général sur la Protection des Données personnelles (RGPD) est entré en application le 25 mai
2018. Depuis, l’ensemble des organismes (entreprises, collectivités publiques, associations, organisations
professionnelles, syndicats…), doivent tenir compte des obligations du RGPD et offrir une protection
adéquate des données personnelles qu’ils détiennent (données de leurs salariés ou collaborateurs, de leurs
clients, de leurs partenaires ou fournisseurs…) car les contrôles et sanctions relatifs au RGPD sont
applicables.

Concrètement, qu’est-ce qu’une entreprise/organisme/ syndicat/association ….doit


faire ?

• Documenter et être en mesure de démontrer sa conformité

o en cas de contrôle de la CNIL ou

o en cas de réclamation d’une personne dont les données personnelles sont utilisées ou
collectées.

Cela signifie :

➢ Suppression des déclarations à la CNIL : vous n’avez plus besoin d’informer préalablement la
CNIL de l’existence d’un traitement (suppression des déclarations de fichiers à la CNIL).

➢ Désignation d’un DPO (‘Data Protection Officer’) : vous devez désigner un référent / pilote
en charge des problématiques de protection des données personnelles ou le cas échéant
nommer un délégué à la protection des données (ou DPO).

➢ Tenue d’un registre de traitement : pour certaines structures, vous devez tenir un registre
des traitements de données personnelles que vous effectuez dans votre entreprise ou que vous
externalisez (gestion de la paie, hébergement externe des données numériques, utilisation du
Cloud, utilisation d’un coffre-fort numérique…). Si vous sous-traitez des données pour le
compte d’un client, vous devez tenir un registre des catégories d’activités de traitement. Du
fait de la cartographie des données personnelles et des traitements correspondants, il est
intéressant de les recenser sous forme de registre malgré l’absence de

• Sensibiliser ses collaborateurs et salariés aux problématiques et enjeux de la protection des données
personnelles. Cette sensibilisation peut être faite par tous moyens (en présentiel, par la diffusion d’une
note d’information, l’actualisation du règlement intérieur, la signature d’un engagement de
confidentialité…).
• Informer les personnes concernées de l’existence d’un traitement de leurs données personnelles et,
quand cela est nécessaire, demander leur consentement.

➢Informer les salariés, selon les cas : annexe au contrat de travail, note interne, charte
d’utilisation des outils informatiques….

➢Informer les clients : prévoir des mentions d’information dans les mails concernés, dans les
CGU/CGV en cas de collecte, dans les courriers, sur des formulaires de collecte… ; le cas échéant,
informer oralement les interlocuteurs par téléphone.

• Vérifier les contrats avec ses prestataires :
➢ Identifier les prestataires ou partenaires qui traitent des données personnelles pour le compte
de votre entité (expert-comptable, gestionnaire de paie, gestionnaire du coffre-fort numérique,
hébergeur, prestataire de maintenance informatique, société de sécurité, développeur
d’applications ou de logiciels…) et qui sont donc considérés comme sous-traitants au sens du RGPD.

➢ Les informer par écrit (mail ou courrier) de l’entrée en application du RGPD et de leurs obligations
en tant que sous-traitants.

➢ Leur proposer d’intégrer les clauses prescrites par le RGPD dans les contrats en cours.

➢ Modifier les modèles de contrat pour y intégrer les clauses contractuelles prescrites par le RGPD.

• Assurer la sécurité de ses traitements :

➢Veiller à tout le moins à respecter les mesures élémentaires préconisées par la CNIL dans son guide
pratique.

Sécuriser les fichiers :


o Sécuriser l’accès au fichier (gestion des droits d’accès)

o Mettre un mot de passe à l’ouverture du fichier s’il contient des données sensibles (données de
santé ou numéro de sécurité sociale par exemple)

o Mise en place de logs pour être en mesure de détecter les intrusions en cas de vol de fichiers,
d’accès non autorisé, de fuite de données…

o Avoir une sauvegarde du fichier ou de ses données pour être en mesure de restaurer un fichier
modifié ou supprimé

Sécuriser les smartphones ou tablettes :


o Mettre un code de verrouillage de l’appareil

o Crypter les tablettes Android

o Utiliser un MDM (Mobile Device Management) qui permet de gérer les tablettes ou smartphones à
distance afin d’effacer les données en cas de perte / vol du terminal

Sécuriser les ordinateurs fixes ou portables :


o Mettre un mot de passe individuel sur les ordinateurs

o Crypter l’ordinateur portable s’il contient des fichiers ayant des données personnelles /
confidentielles

o Avoir un antivirus à jour

2
o Mettre régulièrement à jour le système d’exploitation, les outils, logiciels ou applications utilisés

➢Mettre en place un processus de notification des violations de données personnelles (incidents de


sécurité ayant impacté les données personnelles). A compter d’aujourd’hui, il faut notifier à la
CNIL tous les incidents de sécurité impactant les données personnelles (accès non autorisé, fuite
volontaire ou accidentelle de données, indisponibilité involontaire ou anormale des données,
suppression ou modification intentionnelle ou accidentelle des données…) lorsqu’il existe un risque
pour les personnes concernées (par exemple en cas de fuite de données bancaires) et ce dans un
délai très court (24 heures pour la constatation de la violation, puis notification complémentaire
dans les 72 heures).

• Respecter les droits des personnes concernées d’accéder aux données les concernant, de s’opposer
à un traitement, de demander l’effacement de leurs données. Cela implique de mettre en place un
processus de gestion des réclamations des personnes concernées pour leurs données personnelles.

La FIM et le MEDEF vous accompagnent


Afin de vous aider dans ce processus de conformité, la FIM et le MEDEF vous proposent un « kit RGPD »
comprenant à la fois des documents nécessaires à la compréhension de vos obligations et des modèles et
exemples de mentions, de registre et autres outils nécessaires pour la mise en œuvre du RGPD.
1. Pour comprendre vos obligations :

o Note d’information FIM sur le RGPD


o Présentation powerpoint FIM sur la protection des données (du 6 avril)
o Vidéo de présentation du RGPD de la CNIL (15 min)
o Outil de diagnostic RGPD
o MOOC du MEDEF
o Guide pratique CNIL-BPI à destination des TPE/PME
o Guide pratique à destination du sous-traitant

2. Pour mettre en place le RGPD :

o Plan d’action en 6 étapes de la CNIL


o Exemple de registre(CNIL)
o Registre publié https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-
publie.xlsx
o Exemple de fiche de traitement
o Formulaire de désignation du DPO (délégué à la protection des données personnelles)
o Guide de la CNIL sur les mesures de sécurité élémentaires
o Outil d’analyse d’impact de la CNIL (en open source)
o Formulaire de notification de violation de données à caractère personnel
o Limiter la conservation des données
o Modèles de mentions d’information
o Modèles de clauses de sous-traitance

o Différentes fiches pratiques :


- Sachez que faire quand votre entreprise communique et/ou vend en ligne
- Améliorez et maîtrisez votre relation client
- Protégez les données de vos collaborateurs
- Délais de conservation des documents pour les entreprises (afin d’aider à fixer un délai
de conservation de la donnée personnelle dans le fichier) (Service public)

3
ANNEXES

L’attention des utilisateurs des modèles proposés est attirée sur le fait qu’il convient de prendre toutes
les précautions dans l’utilisation de ces documents. Il est nécessaire de les adapter aux faits et à la
situation juridique en cause.

Le terme « entité » désigne le responsable de traitement, qui peut être : une entreprise, une collectivité
publique, une association, une organisation professionnelle, un syndicat…Il est à substituer par le terme
adéquat en l’espèce.

En italique, certaines observations et compléments sont indiqués à intégrer le cas échéant.

Les annexes sont organisées en 4 parties.

1. Salariés
2. Mentions d’information RGPD
3. Prestataires dits sous-traitants au sens du RGPD
4. Registre et fiche de registre

4
1ère partie annexe salariés

Il est important de rappeler aux collaborateurs ou salariés que les données personnelles auxquelles ils ont
accès dans le cadre de leurs fonctions ne peuvent en aucun cas être réutilisées ou transmises à des tiers,
que ce soit pour de la prospection ou toute autre réutilisation qui serait incompatible avec les finalités
initiales pour lesquelles les données ont été collectées.

En plus des sessions de formation, les salariés peuvent être sensibilisés, notamment par le biais :

1. du règlement intérieur
2. d’une charte informatique
3. d’un mail ou une note interne
4. d’un engagement de confidentialité annexé au contrat de travail

1. EXEMPLE D’ARTICLE A INSERER DANS LE REGLEMENT INTERIEUR

Protection des données à caractère personnel

La réglementation en vigueur en matière de protection des données personnelles 1 définit les conditions dans
lesquelles des traitements de données personnelles peuvent être effectués et impose une utilisation des
données personnelles qui soit responsable, pertinente et limitée aux stricts besoins d’une entreprise ou de
tout autre organisme. Ainsi, toute information se rapportant directement ou indirectement à une personne
physique ne peut être utilisée que de manière transparente et en respectant les droits des personnes
concernées.

A insérer si nécessaire :

L’entité a désigné un délégué à la protection des données personnelles qui a pour mission
d’informer, de conseiller et de veiller à la conformité des traitements à la réglementation en
matière de données personnelles. Il doit être consulté préalablement à la création d’un traitement
et veille au respect des droits des personnes (droit d’accès, de rectification, d’opposition,
d’effacement, de portabilité, de limitation du traitement). En cas de difficultés rencontrées lors
de l’exercice de ces droits, les personnes concernées peuvent saisir le délégué à la protection des
données personnelles.

Chaque salarié est soumis à une obligation de confidentialité pour l’ensemble des données personnelles
auxquelles il a accès dans le cadre de ses fonctions.

Tout usage ou utilisation illicite de ces données par l’un des collaborateurs constituerait une violation de la
réglementation en matière de protection des données personnelles, et notamment du RGPD, et serait
passible de sanctions pour l’entreprise et pour le salarié ou collaborateur.

1
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
5
2. EXEMPLE DE CHARTE D’UTILISATION DES RESSOURCES INFORMATIQUES

Dans le cadre de son activité, [nom de l’entité] met à disposition de ses collaborateurs des outils
informatiques et de communication.

La présente charte définit les conditions d’accès et d’utilisation des moyens informatiques et ressources
mises à disposition des collaborateurs. Elle a également pour objet de sensibiliser les utilisateurs aux risques
liés à l’utilisation de ces ressources en termes d’intégrité et de confidentialité des informations traitées.
Ces risques imposent le respect de certaines règles de sécurité et de bonne conduite. L’imprudence, la
négligence ou la malveillance d’un utilisateur peuvent en effet avoir des conséquences graves de nature à
engager sa responsabilité civile et/ou pénale, ainsi que celle de l’entreprise.

Protection des données à caractère personnel

La réglementation en vigueur en matière de protection des données personnelles 2 définit les conditions dans
lesquelles des traitements de données personnelles peuvent être effectués et impose une utilisation des
données personnelles qui soit responsable, pertinente et limitée aux stricts besoins d’une entreprise ou de
tout autre organisme. Ainsi, toute information se rapportant directement ou indirectement à une personne
physique ne peut être utilisée que de manière transparente et en respectant les droits des personnes
concernées.

Chaque salarié est soumis à une obligation de confidentialité pour l’ensemble des données personnelles
auxquelles il a accès dans le cadre de ses fonctions (qu’il s’agisse des données de consommateurs, de clients
professionnels, de salariés…). Tout usage ou utilisation illicite de ces données est passible de sanctions pour
l’entreprise et pour le salarié.

A insérer si nécessaire :

[Nom de l’entité] a désigné un délégué à la protection des données personnelles qui a pour mission
d’informer, de conseiller et de veiller à la conformité des traitements à la réglementation en
matière de données personnelles. Il doit être consulté préalablement à la création d’un traitement
et veille au respect des droits des personnes (droit d’accès, de rectification, d’opposition,
d’effacement, de portabilité, de limitation du traitement). En cas de difficultés rencontrées lors
de l’exercice de ces droits, les personnes concernées peuvent saisir le délégué à la protection des
données personnelles.

Le champ d’application de la charte

La charte s’applique à tout utilisateur des outils informatiques ou de communication mis à sa disposition
par [nom de l’entité] pour l’exercice de ses activités professionnelles. L’utilisation à titre privé de ces outils
est tolérée mais doit être raisonnable et ne pas perturber le bon fonctionnement du service.

On désigne sous le terme « utilisateur » toute personne autorisée à accéder aux outils informatiques et aux
moyens de communication de [nom de l’entité] et à les utiliser (employés, stagiaires, intérimaires,
prestataires, etc).

Les termes « outils informatiques et de communication » recouvrent tous les équipements informatiques,
de télécommunications et de reprographie de [nom de l’entité].

I. Les règles d’utilisation du système d’information


Chaque utilisateur accède aux outils informatiques nécessaires à l’exercice de son activité professionnelle
dans les conditions définies par [nom de l’entité].

2
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
6
1. Les modalités d’intervention du service de l’informatique interne

Le service de l’informatique interne assure le bon fonctionnement et la sécurité des réseaux, des moyens
informatiques et de communication de [nom de l’entité]. Ils ont accès à l’ensemble des données techniques
mais s’engagent à respecter les règles de confidentialité applicables aux données qu’ils sont amenés à
connaître dans le cadre de leurs fonctions.

2. L’authentification
L'accès aux ressources informatiques repose sur l’utilisation d'un nom de compte ("login" ou identifiant)
fourni à l'utilisateur lors de son arrivée dans l’entreprise. Un mot de passe est associé à cet identifiant de
connexion. Les moyens d’authentification sont personnels et confidentiels.

3. Les règles de sécurité


Tout utilisateur s’engage à respecter les règles de sécurité suivantes :

- signaler au service informatique interne de [nom de l’entité] toute violation ou tentative de


violation suspectée de son compte réseau et de manière générale tout dysfonctionnement ;
- ne jamais confier son identifiant/mot de passe ;
- ne jamais demander son identifiant/mot de passe à un collègue ou à un collaborateur ;
- ne pas masquer sa véritable identité ;
- ne pas usurper l'identité d'autrui ;
- ne pas modifier les paramétrages du poste de travail ;
- ne pas installer de logiciels sans autorisation ;
- verrouiller son ordinateur dès qu’il quitte son poste de travail ;
- ne pas accéder, tenter d'accéder, supprimer ou modifier des informations qui ne lui appartiennent
pas ;
- ne pas copier les données de l’entreprise sur un support externe, sauf accord du supérieur
hiérarchique ou du service informatique.

Les visiteurs ou prestataires extérieurs ne peuvent avoir accès aux outils informatiques et de communication
sans l’accord préalable du service informatique. Ils doivent alors s’engager à respecter et faire respecter la
présente charte par leurs propres salariés.

II. Les moyens informatiques

1. Configuration du poste de travail

[Nom de l’entité] met à disposition de chaque utilisateur un poste de travail doté des outils informatiques
nécessaires à l’accomplissement de ses fonctions.

L’'utilisateur ne doit pas :

- modifier ces équipements et leur fonctionnement, leur paramétrage, ainsi que leur configuration
physique ou logicielle ;
- connecter ou déconnecter du réseau les outils informatiques et de communications sans y avoir été
autorisé par l’équipe informatique interne.
- déplacer l’équipement informatique (sauf s’il s’agit d’un «équipement mobile»)
- nuire au fonctionnement des outils informatiques et de communications.

Toute installation de logiciels supplémentaires (logiciels de consultation de fichiers multimédia) est


subordonnée à l’accord du service informatique interne.

2. Equipements mobiles

On entend par « équipements mobiles » tous les moyens techniques mobiles (ordinateur portable,
imprimante portable, téléphones mobiles ou smartphones, CD ROM, clé USB, etc).

7
L’utilisation de smartphones ou Blackberry pour relever automatiquement la messagerie électronique
comporte des risques particuliers pour la confidentialité des messages, notamment en cas de perte ou de
vol de ces équipements. Quand ces appareils ne sont pas utilisés pendant quelques minutes, ils doivent donc
être verrouillés par un moyen adapté de manière à prévenir tout accès non autorisé aux données qu’ils
contiennent.

L’utilisateur qui reçoit un matériel en prêt en assure la garde et la responsabilité et doit informer le service
informatique en cas d’incident (perte, vol, dégradation) afin qu’il soit procédé aux démarches telles que la
déclaration de vol ou de plainte. Il est garant de la sécurité des équipements qui lui sont remis et ne doit
pas contourner la politique de sécurité mise en place sur ces mêmes équipements.

3. Internet

Les utilisateurs peuvent consulter les sites internet présentant un lien direct et nécessaire avec l'activité
professionnelle, de quelque nature qu’ils soient. Une utilisation ponctuelle et raisonnable, pour un motif
personnel, des sites internet dont le contenu n'est pas contraire à la loi, l'ordre public, et ne met pas en
cause l'intérêt et la réputation de l’institution, est admise.

4. Messagerie électronique

La messagerie mise à disposition des utilisateurs est destinée à un usage professionnel. L'utilisation de la
messagerie à des fins personnelles est tolérée si elle n'affecte pas le travail ni la sécurité du réseau
informatique de [nom de l’entité].

Tout message qui comportera la mention expresse ou manifeste de son caractère personnel bénéficiera du
droit au respect de la vie privée et du secret des correspondances. A défaut, le message est présumé
professionnel. [Nom de l’entité] s’interdit d’accéder aux dossiers et aux messages identifiés comme «
personnel » dans l’objet de la messagerie du salarié.

L’utilisation de la messagerie électronique doit se conformer aux règles d’usage définies par le service
informatique interne en matière de volumétrie de la messagerie, taille maximale de l’envoi et de la
réception d’un message, nombre limité de destinataires simultanés lors de l’envoi d’un message, gestion de
l’archivage de la messagerie…

Le transfert de messages, ainsi que leurs pièces jointes, à caractère professionnel sur des messageries
personnelles est soumis aux mêmes règles que les copies de données sur supports externes.

Les utilisateurs peuvent consulter leur messagerie à distance, à l’aide d’un navigateur (webmail). Les
fichiers qui seraient copiés sur l’ordinateur utilisé par le salarié dans ce cadre doivent être effacés dès que
possible de l’ordinateur utilisé.

En cas d’absence prolongée d’un salarié (longue maladie), le supérieur peut demander au service
informatique, après accord de la direction des ressources humaines, le transfert des messages reçus.

[Nom de l’entité] dispose d'un outil permettant de lutter contre la propagation des messages non désirés
(spam). Aussi, afin de ne pas accentuer davantage l'encombrement du réseau lié à ce phénomène, les
utilisateurs sont invités à limiter leur consentement explicite préalable à recevoir un message de type
commercial, newsletter, abonnements ou autres, et de ne s'abonner qu'à un nombre limité de listes de
diffusion notamment si elles ne relèvent pas du cadre strictement professionnel.

5. Téléphone

[Nom de l’entité] met à disposition des utilisateurs, pour l’exercice de leur activité professionnelle, des
téléphones fixes et/ou mobiles. L’utilisation du téléphone à titre privé est admise à condition qu’elle
demeure raisonnable.

Des restrictions d’utilisation par les salariés des téléphones fixes sont mises en place en tenant compte de
leurs missions. A titre d’exemple, certains postes sont limités aux appels nationaux, d’autres peuvent passer
des appels internationaux.

8
[Nom de l’entité] s’interdit de mettre en œuvre un suivi individuel de l’utilisation des services de
communications. Seules des statistiques globales sont réalisées sur l’ensemble des appels afin de vérifier
que les consommations n’excèdent pas les limites des contrats passés avec les opérateurs.

[Nom de l’entité] s’interdit d’accéder à l’intégralité des numéros appelés via l’autocommutateur mis en
place et via les téléphones mobiles. Toutefois, en cas d’utilisation manifestement anormale, le service
informatique, sur demande [nom de la personne compétente. Ex : DAF, DRH, DG…], se réserve le droit
d’accéder aux numéros complets des relevés individuels.

III. L’administration du système d’information

Afin de surveiller le fonctionnement et de garantir la sécurité du système d’information, différents


dispositifs sont mis en place. (Insérer uniquement les dispositifs d’administration mis en place, dont voici
des exemples).

A insérer si nécessaire :

1. Les systèmes automatiques de filtrage


A titre préventif, des systèmes automatiques de filtrage permettant de diminuer les flux d'information pour
[nom de l’entité] et d'assurer la sécurité et la confidentialité des données sont mis en œuvre. Il s’agit
notamment du filtrage des sites Internet, de l’élimination des courriels non sollicités, du blocage de certains
protocoles (peer to peer, messagerie instantanée...).

2. Les systèmes automatiques de traçabilité


Le service informatique de [nom de l’entité] opère sans avertissement les investigations nécessaires à la
résolution de dysfonctionnements du système d'information ou de l'une de ses composantes, qui mettent en
péril son fonctionnement ou son intégrité.

Il s’appuie pour ce faire, sur des fichiers de journalisation (fichiers « logs ») qui recensent toutes les
connexions et tentatives de connexions au système d'information. Ces fichiers comportent les données
suivantes : dates, postes de travail et objet de l’évènement.

Le service informatique est le seul destinataire de ces informations qui sont effacées à l’expiration d’un
délai de XX mois.

3. Gestion du poste de travail


A des fins de maintenance informatique, le service informatique interne de [nom de l’entité] peut accéder
à distance à l'ensemble des postes de travail. Cette intervention s'effectue avec l'autorisation expresse de
l'utilisateur.

Dans le cadre de mises à jour et évolutions du système d’information, et lorsqu’aucun utilisateur n’est
connecté sur son poste de travail, le service informatique peut être amené à intervenir sur l’environnement
technique des postes de travail. Il s’interdit d’accéder aux contenus.

IV. Procédure applicable lors du départ de l’utilisateur

Lors de son départ, l’utilisateur doit restituer au service de l’informatique interne les matériels mis à sa
disposition. Il doit préalablement effacer ses fichiers et données privées. Aucune copie des documents
professionnels ne peut être effectuée par le salarié, sauf accord exprès de [nom de l’entité].

Les comptes et les données personnelles de l’utilisateur sont, en tout état de cause, supprimés dans un
délai maximum d’un mois (délai raisonnable doit être court) après son départ.

V. Responsabilités – Sanctions

Le manquement aux règles et mesures de sécurité et de confidentialité définies par la présente charte est
susceptible d’engager la responsabilité de l’utilisateur et d’entraîner des sanctions internes à son encontre.
Le non-respect des lois et textes applicables en matière de sécurité des systèmes d’information est
susceptible de sanctions pénales prévues par la loi 3.

3
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée qui insère les articles 226-
16 à 226-24 et articles R. 625-10 à R. 625-13 du Code pénal ;
9
VI. Entrée en vigueur de la charte

La présente charte est applicable à compter du…

3. EXEMPLE DE NOTE INTERNE OU MAIL AUX SALARIES

Conformément à la réglementation française et européenne en matière de protection des données


personnelles4, les informations relatives à des personnes physiques ne peuvent être utilisées que de manière
transparente et, le cas échéant, avec le consentement des personnes concernées.

En tant que salariés ou collaborateurs, nous vous rappelons que vous êtes soumis à une obligation de
confidentialité pour l’ensemble des données, notamment des informations personnelles, auxquelles vous
avez accès dans le cadre de vos fonctions (qu’il s’agisse des données de consommateurs, de clients
professionnels, de salariés…).

Tout usage ou réutilisation illicite de ces données constituerait une violation de la réglementation en
matière de protection des données personnelles, et notamment du RGPD, et engagerait la responsabilité de
l’entreprise qui pourrait être sanctionnée par une amende administrative5.

Par ailleurs, nous vous rappelons que chaque salarié est soumis à un engagement contractuel de
confidentialité à l’égard de son employeur et, qu’à ce titre, toute diffusion ou utilisation illicite
d’informations est susceptible de sanctions disciplinaires.

Il est donc important que chacun d’entre vous reste vigilant face à tous types de sollicitations, y compris
pour l’accès à des bases de contact.

Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique (articles 323-1 à 323-3 du Code pénal) ;
Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN).
4
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
5
2% à 4% du chiffre d’affaires annuel mondial ou 10 millions ou 20 millions d’euros.
10
4. EXEMPLE D’ENGAGEMENT DE CONFIDENTIALITE

Je soussigné(e) M./Mme…………………………………………………………………………………..., exerçant les fonctions de


…………………………………………………………... au sein de l’entité …………………………………………………… (ci-après
dénommée « la Société ») m’engage à respecter la confidentialité des données à caractère personnel
auxquelles je pourrais avoir accès dans le cadre de mes fonctions.

Je m’engage par conséquent, conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée
relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur
la protection des données du 27 avril 2016, à prendre toutes précautions conformes aux usages et à l’état
de l’art dans le cadre de mes attributions afin de protéger la confidentialité des informations auxquelles
j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non autorisées à
recevoir ces informations.

Je m’engage en particulier à :

- ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes
attributions ;
- ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en
recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
- ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes
fonctions ;
- prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de mes
attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
- prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité
physique et logique de ces données ;
- m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés
seront utilisés pour transférer ces données ;
- en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques
et tout support d’information relatif à ces données.

Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif,
sans limitation de durée après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet
engagement concerne l’utilisation et la communication de données à caractère personnel.

J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et
pénales conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24
du code pénal.

Fait à ……………………………, le …………………………………..

Signature :

11
2ème partie annexe Mentions d’information

Le RGPD a pour objectif de renforcer la maîtrise des personnes sur les données les concernant, ce qui
implique que la personne soit informée de l’existence d’un traitement et de ses finalités. Le responsable
du traitement doit donc fournir certaines informations (cf. Articles 13 et 14) aux salariés, aux clients, aux
prospects ou à toute autre personne concernée par un traitement.

Les mentions d’information, selon les cas d’espèce, doivent être notamment indiqués sur les sites internet,
les e-mailings, les formulaires de contact....

Relativement aux sites internet, les mentions d’information des personnes concernées ne doivent pas se
confondre avec les mentions obligatoires, ce ne sont pas les mêmes obligations ni les mêmes fondements
légaux.

A toutes fins utiles https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation

A noter que le délai de réponse à la demande d’une personne sur ses données personnelles est d’un mois
maximum, délai qu’il est possible de prolonger d’un mois supplémentaire, si et uniquement, si la demande
est complexe et ce à condition d’en informer l’intéressé dans le mois de sa demande.

1. EXEMPLE DE MENTION GENERALE D’INFORMATION :

Les données à caractère personnel ainsi collectées font l’objet d’un traitement dont le responsable est
[nom de l’entité/direction concernée le cas échéant et adresse].

Ces données sont collectées [indiquer la finalité : par exemple « dans le cadre de l’exécution du contrat »
ou « pour des motifs de sécurité »…] et sont nécessaires à [par exemple « la fourniture et à l’utilisation
du service » ou « à la mise en place d’un dispositif de vidéosurveillance »].

Elles sont destinées à [nom de l’organisme], ainsi qu’aux prestataires externes auxquels le responsable de
traitement fait appel [à adapter au cas d’espèce].

Elles seront conservées pendant [indiquer une durée : par exemple « trois mois » ou « toute la durée du
contrat » ou « toute la durée de l’utilisation du service »…].

Conformément à la réglementation applicable en matière de données à caractère personnel 6, vous disposez


d’un droit d’accès, de rectification, d’opposition, de limitation du traitement, d’effacement et de
portabilité de vos données que vous pouvez exercer [par mail / par courrier] à l’adresse suivante [adresse
postale/adresse électronique], en précisant vos nom, prénom, adresse et en joignant une copie recto-verso
de votre pièce d’identité.

En cas de difficulté en lien avec la gestion de vos données personnelles, vous pouvez adresser une
réclamation auprès du délégué à la protection des données personnelles [indiquer les coordonnées le cas
échéant] ou auprès de la CNIL (https://www.cnil.fr/fr/cnil-direct/question/844) ou de toute autre autorité
compétente.

2. EXEMPLE DE MENTION POUR LES CANDIDATS EN MATIERE DE RECRUTEMENT :

Qu’il s’agisse d’une candidature spontanée ou d’une candidature en réponse à une offre, il est important
d’informer les candidats que leur CV peut être conservé par le recruteur. Il conviendrait dès lors d’envoyer
un message (automatique ou non) accusant réception de la candidature.

-----------------------------------
Madame, Monsieur,

6
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016
12
Nous accusons réception de votre candidature et nous vous remercions de l’intérêt que vous portez à
l’entreprise.

Votre dossier sera traité dans les plus brefs délais.

Sans nouvelles de notre part dans un délai de… semaines à la réception de ce courrier, veuillez considérer
que nous ne sommes pas en mesure de donner une suite favorable à votre candidature.

Sauf avis contraire de votre part, l’ensemble de vos données et des éléments que vous nous avez transmis
sera conservé dans votre base de données pendant une durée d’un an afin de vous faire part d’éventuelles
opportunités susceptibles de vous intéresser. Ces données seront uniquement conservées à des fins de
recrutement et ne seront accessibles qu’aux personnes chargées du recrutement.

Conformément à la réglementation en vigueur en matière de protection des données personnelles 7, vous


disposez d’un droit d’accès aux informations vous concernant, ainsi qu’un droit de rectification,
d’opposition, de limitation du traitement et de suppression que vous pouvez exercer par courrier/par mail
en vous adressant à : adresse postale/adresse électronique.

3. EXEMPLE DE MENTION D’INFORMATION PAR TELEPHONE

Lorsque les conversations téléphoniques sont susceptibles d’être enregistrées et ou qu’il y a collecte de
données personnelles, il s’agit d’un traitement de données à caractère personnel. Il est donc nécessaire
d’informer les personnes concernées (clients, salariés ou autres) de l’existence de cet enregistrement,
même par oral, au début de la conversation téléphonique.

--------------------

Afin d’améliorer la qualité du service, nous vous informons que la conversation téléphonique est susceptible
d’être enregistrée par [nom du responsable de traitement]. Les données ainsi enregistrées sont à destination
de [indiquer les destinataires] et sont strictement nécessaires à l’amélioration du service. Cet
enregistrement sera conservé [durée de conservation].

Vous pouvez vous opposer à cet enregistrement.

Conformément à la réglementation en vigueur en matière de protection des données personnelles8, vous


disposez d’un droit d’accès aux informations vous concernant, ainsi qu’un droit de rectification,
d’opposition, de limitation du traitement et de suppression que vous pouvez exercer par courrier/par mail
en vous adressant à : adresse postale/adresse électronique.

7
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016.
8
Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 modifiée et Règlement général sur
la protection des données personnelles (RGPD) n° (UE) 2016/679 du 27 avril 2016.
13
3ème partie annexe Sous-traitance

Le RGPD a pour objectif de renforcer la maîtrise des personnes sur les données les concernant, ce qui
implique que le responsable de traitement est responsable mais aussi le sous-traitant. Il faut vérifier que
vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités.
Par conséquent, il faut s’assurer, en tant que responsable de traitement de l’existence de clauses
contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de
protection des données personnelles traitées

1. EXEMPLE DE COURRIER AU SOUS-TRAITANT

Madame, Monsieur,

Le Règlement européen sur la protection des données personnelles (RGPD)9 entrant en application le 25
mai 2018, les obligations des entreprises et autres organismes se trouvent renforcées, qu’ils soient
responsables de traitement ou sous-traitants10.

A toutes fins utiles, vous trouverez ci-joint une note d’information de la CNIL. Pour plus d’informations,
nous vous invitons à consulter le site de la Commission nationale de l’informatique et des libertés (CNIL).

En tant que responsable de traitement, l’entité doit s’assurer de sa conformité au RGPD et de celle de ses
sous-traitants. Pour ce faire, nous devons mettre à jour les contrats de sous-traitance/prestations de
services/… portant sur des données personnelles. De même, nous vous demandons de bien vouloir nous
confirmer le lieu d’exécution du contrat, en nous signalant par exemple si l’un de vos prestataires
(hébergement, sécurité informatique…) est situé en-dehors de l’Union européenne.

En tant que sous-traitant, vous avez également une responsabilité sur les données personnelles que vous
pouvez être amené à traiter pour notre compte, notamment assurer la sécurité, nous alerter
immédiatement en cas d’incident de sécurité impactant des données personnelles (violations de données
personnelles), etc.

Pour cette raison, nous vous proposons d’intégrer par avenant au contrat les clauses obligatoires prévues
par le règlement européen sous la forme d’un avenant ci-joint. Merci de bien vouloir nous faire par retour
de la présente ,

Veuillez …..

9
Règlement général n° (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD).
10
La CNIL rappelle que sont sous-traitants tous les organismes qui traitent des données personnelles pour le compte
d'un autre organisme, dans le cadre d'un service ou d'une prestation (prestataires de services informatiques tels que
l'hébergement ou la maintenance, intégrateurs de logiciels, sociétés de sécurité informatique, entreprises du service
du numérique ou SSII qui ont accès aux données, agences de marketing ou de communication...) :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-
traitants
14
2. EXEMPLE D’AVENANT DONNEES PERSONNELLES EN CAS DE SOUS-TRAITANCE

[…], situé à […] et représenté par […]


(ci-après, « le responsable de traitement»)
d'une part,
ET
[…], situé à […] et représenté par […] (ci-après, « le sous-traitant»)
d’autre part,

I. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à
effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère
personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en
vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-
après, « le règlement européen sur la protection des données »).

II. Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère
personnel nécessaires pour fournir le ou les service(s) suivant(s) [...].
La nature des opérations réalisées sur les données est […].
La ou les finalité(s) du traitement sont [...].
Les données à caractère personnel traitées sont […].
Les catégories de personnes concernées sont […].
Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du
sous-traitant les informations nécessaires suivantes […]. Règlement européen sur la protection des données
personnelles - Guide du sous-traitant - Edition septembre 2017

III. Durée du contrat, droit applicable et langue du contrat

Le présent contrat entre en vigueur à compter du […] pour une durée de […].

Le cas échéant à ajouter: Le droit applicable au contrat est le droit […].La langue du contrat est […].

Le cas échéant à ajouter: une version en langue […] est effectuée pour convenance.

IV. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s'engage à :

1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance

2. Traiter les données conformément aux instructions documentées du responsable de traitement


figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une
violation du règlement européen sur la protection des données ou de toute autre disposition du droit
de l’Union ou du droit des Etats membres relative à la protection des données, il en informe
immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un
transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de
l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du
traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une
telle information pour des motifs importants d'intérêt public

3. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent
contrat

15
4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du
présent contrat :
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée
de confidentialité
reçoivent la formation nécessaire en matière de protection des données à caractère
personnel

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection
des données dès la conception et de protection des données par défaut

6. Sous-traitance

Choisir l’une des deux options et supprimer celle qui n’est pas retenue
Option A (autorisation générale)
Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener
des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable
de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les
coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose
d’un délai minium de […] à compter de la date de réception de cette information pour présenter ses
objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis
d'objection pendant le délai convenu. Règlement européen sur la protection des données personnelles -
Guide du sous-traitant - Edition septembre 2017

Option B (autorisation spécifique)


Le sous-traitant est autorisé à faire appel à l’entité […] (ci-après, le « sous-traitant ultérieur ») pour mener
les activités de traitement suivantes : […]
En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doit recueillir l’autorisation écrite,
préalable et spécifique du responsable de traitement.
Quelle que soit l’option (autorisation générale ou spécifique)
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon
les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-
traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques
et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement
européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en
matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le
responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

7. Droit d’information des personnes concernées

Choisir l’une des deux options et supprimer celle qui n’est pas retenue
Option A
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les
opérations de traitement au moment de la collecte des données.
Option B
Le sous-traitant, au moment de la collecte des données, doit fournir aux personnes concernées par les
opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et
le format de l’information doit être convenue avec le responsable de traitement avant la collecte de
données.

8. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son
obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès,
de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des
données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Choisir l’une des deux options et supprimer celle qui n’est pas retenue
Option A
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits,
le sous-traitant doit adresser ces demandes dès réception par courrier électronique à […] (indiquer un
contact au sein du responsable de traitement).

16
Option B
Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais
prévus par le règlement européen sur la protection des données aux demandes des personnes concernées
en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le
présent contrat.

9. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans
un délai maximum de […] heures après en avoir pris connaissance et par le moyen suivant […]. Cette
notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement,
si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Règlement européen sur la
protection des données personnelles - Guide du sous-traitant - Edition septembre 2017

Option possible
Après accord du responsable de traitement, le sous-traitant notifie à l’autorité de contrôle compétente (la
CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère
personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance,
à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés
des personnes physiques.

La notification contient au moins :

• la description de la nature de la violation de données à caractère personnel y compris, si possible,


les catégories et le nombre approximatif de personnes concernées par la violation et les catégories
et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact
auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de données à caractère personnel ;
• la description des mesures prises ou que le responsable du traitement propose de prendre pour
remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures
pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les
informations peuvent être communiquées de manière échelonnée sans retard indu.

Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du


responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les
meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés
d'une personne physique.

La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation
de données à caractère personnel et contient au moins

• la description de la nature de la violation de données à caractère personnel y compris, si possible,


les catégories et le nombre approximatif de personnes concernées par la violation et les catégories
et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact
auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de données à caractère personnel ;
• la description des mesures prises ou que le responsable du traitement propose de prendre pour
remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures
pour en atténuer les éventuelles conséquences négatives.

10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la


protection des données.
Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de
l’autorité de contrôle

17
11. Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

[Décrire les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque,
y compris, entre autres

• la pseudonymisation et le chiffrement des données à caractère personnel


• les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience
constantes des systèmes et des services de traitement;
• les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à
celles-ci dans des délais appropriés en cas d'incident physique ou technique;
• une procédure visant à tester, à ’analyser et à ’évaluer régulièrement l'efficacité des mesures
techniques et organisationnelles pour assurer la sécurité du traitement]

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité prévues par [code de conduite,
certification].
[Dans la mesure où l’article 32 du règlement européen sur la protection des données prévoit que la mise en
oeuvre des mesures de sécurité incombe au responsable du traitement et au sous-traitant, il est
recommandé de déterminer précisément les responsabilités de chacune des parties au regard des mesures
à mettre en oeuvre]

12. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à :

Au choix des parties supprimer les options non choisies :


• détruire toutes les données à caractère personnel ou
• à renvoyer toutes les données à caractère personnel au responsable de traitement ou
• à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de
traitement

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes
d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

13. Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la


protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la
protection des données

14. Registre des catégories d’activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement
effectuées pour le compte du responsable de traitement comprenant :

• le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels
sous-traitants et, le cas échéant, du délégué à la protection des données;
• les catégories de traitements effectués pour le compte du responsable du traitement;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une
organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation
internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du
règlement européen sur la protection des données, les documents attestant de l'existence de
garanties appropriées;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et
organisationnelles, y compris entre autres, selon les besoins :
• la pseudonymisation et le chiffrement des données à caractère personnel;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience
constantes des systèmes et des services de traitement;
• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à
celles-ci dans des délais appropriés en cas d'incident physique ou technique;

18
• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures
techniques et organisationnelles pour assurer la sécurité du traitement.

15. Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour


démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des
inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces
audits.

V. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

1. fournir au sous-traitant les données visées au II des présentes clauses


2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le
règlement européen sur la protection des données de la part du sous-traitant
4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant

Fait à ……………………………, le …………………………………..

Signature : Signature :

Nom+fonction Nom+fonction

19
4ème partie annexe Registre et fiche de registre

Dans le cadre de leur plan d'action pour se mettre en conformité au règlement européen sur la protection
des données (RGPD), les entités doivent tenir une documentation interne complète sur leurs traitements de
données personnelles et s’assurer qu'elles respectent bien les nouvelles obligations légales.

Si le registre est obligatoire dans certains cas, il est recommandé d’utiliser ce type de document ou de
modèle proposé par la CNIL, pour être en capacité de montrer ou tout au moins de documenter la conformité
au règlement.
Le registre permet de formaliser le recensement et la cartographie en utilisant de la méthodologie CNIL :
qui, quoi, pourquoi, où, jusqu’à quand, comment. https://www.cnil.fr/fr/cartographier-vos-traitements-
de-donnees-personnelles

Le RGPD impose uniquement que le registre se présente sous une forme écrite. Le format du registre est
libre et peut être constitué au format papier ou électronique. Les modèles publiés par la CNIL permettent
de répondre aux besoins courants et satisfont au socle d’exigences posées par l’article 30 du RGPD.

Il est possible de supprimer des lignes, d’en ajouter. Si une rubrique n’est pas utile, il convient de la laisser
en indiquant « non concerné » ou « inopérant » ou toute autre mention indiquant que la rubrique n’est pas
effective. Le fait de la laisser apparente permet en cas d’évolution du traitement de données et donc de la
fiche et du registre, de l’utiliser si nécessaire.

https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

1. EXEMPLE DE REGISTRE

Identification du traitement Acteurs Finalité du traitement Transferts Données


hors UE ? sensibles ?
Nom / sigle N° / REF Date de Dernière Responsable du Finalité principale Oui /non Oui/non
création mise à jour traitement

20
2. EXEMPLE DE FICHE DE REGISTRE

Fiche de registre ref-000


Description du traitement
Nom / sigle
N° / REF ref-000
Date de création
Mise à jour

Acteurs Nom Adresse CP Ville Pays Tel


Responsable du traitement
Délégué à la protection des données
Représentant
Responsable(s) conjoint(s)

Finalité(s) du traitement effectué


Finalité principale
Sous-finalité 1
Sous-finalité 2
Sous-finalité 3
Sous-finalité 4
Sous-finalité 5

Mesures de sécurité
Mesures de sécurité techniques
Mesures de sécurité organisationnelles

Catégories de données personnelles Description Délai d'effacement


concernées
Etat civil, identité, données
d'identification, images…
Vie personnelle (habitudes de vie, situation
familiale, etc.)
Informations d'ordre économique et
financier (revenus, situation financière,
situation
Données de connexion fiscale,
(adress etc.)
IP, logs,
etc.)
Données de localisation (déplacements,
données GPS, GSM, etc.)

Données sensibles Description Délai d'effacement


Données révèlant l'origine raciale ou
ethnique
Données révèlant les opinions politiques

Données révèlant les convictions religieuses


ou philosophiques
Données révèlant l'appartenance syndicale

Données génétiques

Données biométriques aux fins d'identifier


une personne physique de manière unique
Données concernant la santé

Données concernant la vie sexuelle ou


l'orientation sexuelle
Données relatives à des condamnations
pénales ou infractions
Numéro d'identification national unique
(NIR pour la France)

Catégories de personnes concernées Description


Catégorie de personnes 1
Catégorie de personnes 2

Destinataires Description Type de destinataire


Destinataire 1
Destinataire 2
Destinataire 3
Destinataire 4

Tranferts hors UE Destinataire Pays T y pe de Garanties Lien vers le doc


Organisme destinataire 1
Organisme destinataire 2
Organisme destinataire 3
Organisme destinataire 4

21