DONNEESPERSONNELLES.

FR

FORMATION RGPD

CNIL : vos obligations, vos

droits

1. Les obligations principales

1.1 Déclaration : que faut-il
faire exactement ?
1.1.1 Déclaration simplifiée :
la procédure simple
1.1.2 Déclaration normale :
la procédure standard
1.2 Les sanctions en cas de non
déclaration
2. Qu’est-ce que la CNIL ?
2.1 Définition
2.2 Adresse et points de
contact

Découvrez 7 étapes pour vous mettre en

conformité avec vos obligations (comme la
déclaration cnil, dont il faut s’acquitter, sous
peine de sanctions pénales. Le non-respect
de ces obligations étant sanctionné par 5
ans d’emprisonnement et 300.000€
d’amende).

On détaillera les principales

obligations CNIL.

1. Les obligations principales

Pour l’essentiel vous devez :

1. Informer les personnes de leurs droits

(mentions légales CNIL)
2. Assurer la sécurité des données
3. Respecter les règles spécifiques aux
données sensibles
4. Respecter les droits des personnes
5. Déclarer vos fichiers…
6. Respecter les principes essentiels de la
loi (attention, il ne s’agit pas de « grand
principes inutiles », au contraire, il s’agit
de règles de droit pleinement
applicables et qui font l’objet de
sanctions pénales – la majorité du
temps 5 ans d’emprisonnement et
300.000€ d’amende
7. Conserver les données au sein de l’UE –
ou respecter les dérogations
spécifiques

1.1 Déclaration : que faut-il

faire exactement ?
Vous devez déclarer vos fichier à la CNIL dès
lors que vous réalisez un traitement de
données personnelles, c’est-à-dire dès lors
que vous collectez un email, un nom, un
prénom, une photo, ou toutes données
relatives à des personnes. Attention, il ne
s’agit pas de déclarer ces données, mais
simplement le fait que vous procédez à leur
traitement.

Voici des exemples de traitement qu’il est

nécessaire de déclarer :

Vous mettez en place une badgeuse sur

le lieu de travail (avec le détail des
employés, leurs horaires de passage…)
Un système de vidéo surveillance
Vos fichiers marketing (emails, nom,
prénom…)
Fichiers d’initiés
Site e-commerce…

La liste est longue ! En général il est

nécessaire de commencer par un audit afin
de déterminer l’ensemble des traitements
mis en oeuvre au sein d’une organisation,
pour ensuite pouvoir les mettre en
conformité, un par un (il faudra s’assurer
qu’ils sont bien mis en oeuvre
conformément à la loi). Une fois que
l’organisation a dressé une liste de ses
traitements et qu’elle s’est assurée qu’ils
sont mis en oeuvre conformément à la loi, il
convient de procéder à la réalisation des
formalités légales. Il existe globalement
deux procédures de déclaration : la
déclaration simplifiée, et la déclaration
normale. Attention : le traitement de
certaines données nécessite parfois une
autorisation de la CNIL et non une simple
déclaration (ex : traitements de données
biométriques – ou en pratique les données
dont le traitement comporte le plus de
risques).

1.1.1 Déclaration simplifiée : la

procédure simple
La CNIL édicte sur son site Internet un
formulaire de déclaration simple de
conformité à une norme simplifiée. Il est
également possible de télécharger le
formulaire Cnil de déclaration simplifiée au
format pdf et le renvoyé directement.

Vous trouverez également de plus amples

détails sur le régime de la déclaration
simplifié ici. Personnellement je déconseille
de se baser sur les normes simplifiées car en
pratique il est rare que le responsable du
traitement les maîtrise totalement. Il est
fréquent de voir qu’une entreprise adhère à
une NS pour se rendre compte ensuite que
le traitement qu’elle réalise n’entre pas dans
son champ d’application en réalité. Résultat
: elle se trouve dans l’illégalité et commet
une infraction pénale – ce qu’il est
nécessaire d’éviter. Alors qu’une déclaration
normale aurait permis d’éliminer ce risque.
Voilà l’exemple parfait d’une procédure qui
tente de simplifier les choses mais qui en
réalité fait courir plus de risques et
complexifie plus la situation qu’autre
chose…

1.1.2 Déclaration normale : la

procédure standard
La déclaration normale est le régime
« standard ». Dès lors que vous avez un
traitement de données personnelles qui
n’entre dans aucune des catégories
spécifiques (ex : il n’existe pas de norme
simplifiée), il est nécessaire de se reporter à
la déclaration normale.

1.2 Les sanctions en cas de non

déclaration
La loi informatique et libertés à assorti le
non-respect des obligations de nombreuses
sanctions pénales. Voici un exemple de
sanctions en ce qui concerne le non respect
de l’obligation de déclaration CNIL :

Article 226-16 du Code pénal

Le fait, y compris par négligence, de
procéder ou de faire procéder à des
traitements de données à caractère
personnel sans qu’aient été respectées les
formalités préalables à leur mise en oeuvre
prévues par la loi est puni de cinq ans
d’emprisonnement et de 300 000 Euros
d’amende.
Est puni des mêmes peines le fait, y compris
par négligence, de procéder ou de faire
procéder à un traitement qui a fait l’objet de
l’une des mesures prévues au 2° du I de
l’article 45 de la loi n° 78-17 du 6 janvier
1978 relative à l’informatique, aux fichiers et
aux libertés.

2. Qu’est-ce que la CNIL ?

La CNIL est une autorité administrative
indépendante dont la mission est de
s’assurer du respect des obligations issues
de la loi informatique et libertés.

2.1 Définition
L’acronyme de la CNIL est : Commission
Nationale de l’Informatique et des Libertés.

2.2 Adresse et points de contact

L’adresse de la CNIL est 8 Rue Vivienne,
75002 Paris, France. Métro Bourse (ligne 3 et
9), Palais Royal (ligne 1 et 7).

Il est possible de la joindre par téléphone :

Tél : 01 53 73 22 22
Fax : 01 53 73 22 00

Question fréquentes :

Est-ce que la déclaration est payante ?

Non !
Quels fichiers faut-il déclarer :
l’ensemble des traitements de données
personnelles que vous réalisez
Doit-on déclarer un site web à la CNIL ?
La majorité du temps oui !

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et expert en

droit des nouvelles technologies depuis plus de 20 ans,
dont 6 passés au sein des services du Premier Ministre.
En savoir plus

TÉLÉCHARGER NOTRE FORMATION RGPD

GRATUITE

ILS NOUS ONT FAIT CONFIANCE

Chercher sur le site...

RGPD (ressources essentielles)

RGPD le nouveau règlement sur la

protection des données

GDPR les actions indispensables de

conformité

Les 3 registres RGPD que vous devez

mettre en place

Comment mettre Google Analytics en

conformité au RGPD

Comment mettre en place vos mentions

légales RGPD

Comment gérer des données sensibles

RGPD

Tous les posts ...

VOS CGV (gratuites)

Téléchargez le modèle type de

conditions générales de vente

Donneespersonnelles.fr
RGPD CGV

Les ressources Modèle type de

essentielles CGV

LOGICIEL RGPD FORMATIONS

Legiscope Conformité RGPD

Pratique de la
conformité RGPD

Mentions légales et CGV Contact