ETRE EN CONFORMITE AVEC LE RGPD

Le but du RGPD est de pouvoir atteindre voire garantir un niveau de sécurité

suffisant dans le traitement des données personnelles de manière automatisée.
Le but pour le détenteur de fichiers étant de pouvoir démontrer en cas de plainte,
d’atteint à la sécurité…que les règles imposées par le RGPD ont été respectées.

La technique de même que les dérives informatiques étant en évolution

constante, cela implique obligatoirement que les entreprises se tiennent en veille
constante et modifient leurs sécurités et procédures internes afin de toujours être
au plus près de la réalité.

Ainsi ces exigences ont notamment été renforcées avec l’introduction du

principe de responsabilisation des acteurs, qui implique que tout organisme soit
en mesure de démontrer sa bonne conformité à la réglementation sur les données
personnelles.

Première étape : la cartographie des traitements

Une cartographie des traitements consiste à recenser de manière guidée

l’ensemble des données personnelles traitées par votre organisme.

Établir une cartographie des traitements est un des points de départ essentiels
pour avoir une vision globale des traitements de données personnelles en
circulation au sein de l’organisme.

Le but sera pour les collaborateurs d’avoir une meilleure accessibilité et

une meilleure compréhension des données personnelles traitées ainsi que leur
provenance et leur éventuelle destination, finalité…

La cartographie relève davantage d’une recommandation de la CNIL plutôt que

d’une véritable exigence du RGPD. Cependant cela découle d’une certaine
logique car avant de travailler à leur sécurisation…il est bon de recenser tous les
fichiers.

Une cartographie efficace doit reprendre les informations demandées par le

RGPD

 Finalités du traitement
 Catégories de données
 Catégories de personnes concernées par les données
  Catégories de destinataires des données

Ou encore les mesures de sécurité appliquées au traitement…

Deuxième étape : Déterminer la finalité des traitements

Déterminer la finalité de ses traitements de données personnelles est une

obligation essentielle imposée par le RGPD. La finalité d’un traitement de
donnée répond à la question pourquoi est-ce que mon entreprise collecte ces
données ? Il en est ainsi de fins de prospection commerciale, de statistiques…

La finalité déclarée d’un traitement en fixe la limite. Ainsi lorsque le

responsable du traitement a fixé le but du fichier il ne pourra pas utiliser les
informations qu’il contient à d’autres desseins.

En outre, les finalités des traitements mis en œuvre doivent être déclarées dans
le registre des traitements et portées à la connaissance des personnes concernées.

Enfin, la durée de conservation des données dépend directement de cette finalité.

Là encore, cela parait évident que le but détermine la durée de conservation, et
ce, quelque sot ce but.

Troisième étape : Informer les clients et les collaborateurs

(Cf le droit à l’information)

Pour ce qui est des collaborateurs, dans le cadre des relations de travail,
l’employeur est nécessairement un responsable du traitement des données de ses
employés, fichiers RH…donc le collaborateur bénéficie du droit à l’information

Il en est de même dans les relations avec les clients, fichiers clients, fichiers
prospects…

Quatrième étape : Fixer une durée de conservation

Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les 2 textes

s’accordent pour limiter la conservation des données personnelles dans le temps,
et cette durée doit être en correspondance avec la finalité du traitement et ainsi
permettre de travailler sur les données.

D’une manière générale on peut relever trois types de durée :

 Archivage courant : l’archivage courant renvoie à la nécessité d’une

conservation des données par le responsable de traitement au regard de la
 finalité du traitement. Cette durée peut être fixée contractuellement entre
le responsable de traitement et la personne concernée.
 Archivage intermédiaire : l’archivage intermédiaire renvoie à l’hypothèse
où les données peuvent être conservées plus longtemps que la durée
initialement prévue contractuellement. C’est le cas, par exemple, lorsque
la loi fixe une durée supérieure que celle prévue par le contrat (durée de
prescription…)
 Archivage définitif : certaines données ne peuvent faire l’objet d’aucune
destruction définitive. C’est notamment le cas des données d’intérêt
public (historique, scientifique, statistiques)

Quelques exemple courants:

 Données relatives à la gestion de la paie : 5 ans (Article L3243-4 du Code

du travail)
 Données personnelles de prospect : 3 ans s’il ne répond à aucune
sollicitation depuis au moins 3 ans (délibération de la CNIL n°2016-264
du 21 juillet 2016)
 Données traitées par les établissements de santé publics ou privés : 20
ans (Article R.1112-7 du Code de la santé publique)
 Les données relatives à la gestion du personnel : 5 ans (Article R.1221-26
du Code du travail)
 Les données fiscales : 6 ans (Article L102 B du Livre des procédures
fiscales)
 Les contrats électroniques : 10 ans (Article L213-1 du Code de la
consommation)
 Les données de vidéosurveillance : 1 mois (Article L.252-3 du Code de la
Sécurité intérieure)
 Données relatives aux cookies : d’après une délibération de la CNIL
(n°2020-092), les données collectées via les cookies peuvent être
conservées pendant une durée maximale de 25 mois, sans possibilité de
prolongation en fonction des visites sur le site.

Cinquième étape : Le choix d’une base légale

Tout traitement de données personnelles doit être fondé sur une base légale.

Il s’agit d’un point juridique puisque c’est la raison qui autorise l’entreprise à
traiter les données, comme par exemple, le consentement de la personne…
Voici un certain nombre d’éléments qui peuvent être considérés comme base
légale :

 Le consentement de la personne fichée

 Nécessité d’exécution d’un contrat
 Respect d’une obligation légale
 Mission d’intérêt public ou sauvegarde d’intérêts vitaux
 Intérêt légitime

Sixième étape : Le recueil du consentement

Que ce soit dans la loi de 1978 ou le RGPD, il est impossible pour une
entreprise, une association…de ficher quelqu’un sans son consentement.

Le RGPD définit le consentement des personnes fichées de la manière suivante :

« toute manifestation de volonté, libre, spécifique, éclairée et univoque par
laquelle la personne concernée accepte, par une déclaration ou par un acte
positif clair, que des données à caractère personnel la concernant fassent l’objet
d’un traitement ».

Le RGPD n’a pas foncièrement changer les règles à ce sujet :

 Possibilité pour la personne de retirer son consentement

 Le responsable de traitement doit être en mesure d’établir la preuve du
consentement à tout moment
 Le consentement doit être explicite ce qui signifie qu’il ne se présume pas
 En France il faut avoir plus de 15 ans puisque le mineur ne peut consentir
seul

Le RGPD impose 4 critères cumulatifs pour que la demande de consentement

soit valable :

 Libre donc sans contrainte

 Spécifique donc pour un traitement avec une finalité spécifique et non de
manière générale
 Éclairé, ce qui signifie que la personne maitrisait l’information avant de
consentir
 Univoque, donc aucune ambiguïté dans la manière dont le consentement
est exprimé, par exemple pas de case pré-cochée