Le registre des activités de traitement. Le registre du sous-traitant doit recenser toutes les catégories d'activités de traitement effectuées pour le compte de vos clients. En pratique, une fiche de registre doit donc être établie pour chacune de ces catégories d’activités (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, etc.). Ce registre doit comporter le nom et les coordonnées de votre organisme ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez. Pour chaque catégorie d’activité effectuée pour le compte de clients, il doit contenir les éléments minimaux suivants :
Sanction. A l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques. Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
Respecter les droits des personnes. Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant. Le responsable de fichier doit expliquer aux personnes concernées la procédure (où, comment et à qui s'adresser ?)
Permettant de les exercer concrètement. Le responsable du fichier dispose d’un délai d'un mois pour répondre aux demandes. Le droit à l’information Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur : l’identité du responsable du fichier ;la finalité du fichier ;le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;les destinataires des données ;leurs droits (droit d’accès, de rectification, et d’opposition) ;les éventuels transferts de données vers des pays hors UE. Exemples de formulaire de collecte de données à caractère personnel. Les informations recueillies dans le questionnaire sont enregistrées dans un fichier informatisé par [coordonnées du responsable de traitement].
La base légale du traitement est [base légale du traitement]. Les données marquées par un astérisque dans le questionnaire doivent obligatoirement être fournies. Dans le cas contraire, [préciser les conséquences éventuelles en cas de non-fourniture des données]. Les données collectées seront communiquées aux seuls destinataires suivants : [destinataires des données]. Elles sont conservées pendant [durée de conservation des données prévue par le responsable du traitement ou critères permettant de la déterminer]. Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données.
Consultez le site cnil.fr pour plus d’informations sur vos droits. L'Atelier RGPD. RGPD : 5 minutes pour comprendre. Donnée personnelle. Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. Une personne physique peut être identifiée : directement (exemple : nom et prénom) ;indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée : à partir d’une seule donnée (exemple : nom) ;à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association) : Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1@email.fr ») ne sont pas, en principe, des données personnelles. Le règlement général sur la protection des données (RGPD), mode d’emploi. Le RGPD, qu’est-ce que c’est ?
Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018. Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français. Il a été conçu autour de 3 objectifs : renforcer les droits des personnesresponsabiliser les acteurs traitant des donnéescrédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données. Données personnelles : de quoi parle-t-on ? Une donnée personnelle est décrite par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Identification directe (nom, prénom etc.)identification indirecte (identifiant, numéro etc.).
Êtes-vous concerné par le RGPD ?