Quels principes essentiels doivent être pris en compte pour tous vos traitements ?

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la
personne concernée (Article 13 du RGPD) :

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (Article 6, paragraphe 1, point f : « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. » )

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;

f) le cas échéant, le fait que le responsable du traitement à l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée ou du droit de s’opposer au traitement et du droit à la portabilité des données ;

c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

d) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère
réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue
de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces
données ;
f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au
moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les
conséquences prévues de ce traitement pour la personne concernée.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

Dans la pratique

Afin d’avoir une liste exhaustive des éléments à traiter, nous nous sommes basés sur le modèle de registre de la CNIL accessible sur la page suivante :

https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

Nous y retrouvons :

Le document regroupant les fiches de traitement, communément appelé “registre” doit contenir à minima :

Coordonnées du responsable de l’organisme (responsable de traitement ou son représentant si le responsable est situé en dehors de l’UE)

• Nom
• Prénom
• Adresse
• CP / Ville
• Téléphone
• Adresse de messagerie
• Nom et coordonnées du délégué à la protection des données (si vous avez désigné un DPO)
• Activités de l’organisme impliquant le traitement de données personnelles
• Les fiches détaillées de chaque traitement identifié

Les fiches détaillées de chaque traitement identifié doivent contenir :

• Date de création de la fiche
• Date de dernière mise à jour de la fiche
• Nom du responsable conjoint du traitement (dans le cas où la responsabilité de ce traitement de
  donnée est partagée avec un autre organisme)
• Nom du logiciel ou de l’application (si pertinent)
• Objectifs poursuivis (objet du traitement de données personnelles et ses fonctionnalités)
• Catégories de personnes concernées (Exemples : salariés, usagers, clients, prospects, bénéficiaires, etc.)
• Catégories de données collectées
  • État-civil, identité, données d’identification, images
  • Vie personnelle (ex. habitudes de vie, situation familiale, etc.)
  • Vie professionnelle (ex. CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)
  • Informations d’ordre économique et financier (ex. revenus, situation financière, données bancaires, etc.
  • Données de connexion (ex. adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
  • Données de localisation (ex. déplacements, données GPS, GSM, …)
  • Internet (ex. cookies, traceurs, données de navigation, mesures d’audience, …)
  • Indiquez le cas échéant quelles données sensibles sont-elles traitées (données révélant l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d’identification national unique (NIR ou numéro de sécurité sociale).
• Durées de conservation des catégories de données
• Catégories de destinataires des données
• Destinataires internes (Exemples : entité ou service, catégories de personnes habilitées, direction informatique, etc.)
• Sous-traitants (exemples : hébergeurs, prestataires et maintenance informatiques, etc.)
• Des données personnelles sont-elles transmises hors de l’Union européenne et si oui, vers quel(s) pays ?
• Mesures de sécurité organisationnelles et techniques prévues pour préserver la confidentialité des données
• Mesures de contrôle d’accès des utilisateurs
• Mesure de traçabilité des utilisateurs
• Mesures de protection des logiciels (antivirus, mises à jour et correctifs de sécurité, tests, etc.)
• Mesures de sauvegarde des données
• Mesures de chiffrement des données
• Modalités de contrôle des sous-traitants

Selon moi, les fiches de traitement doivent aussi contenir (liste non exhaustive) :

• De qui ou d’où proviennent les données
• Où sont stockées les données
• Où sont stockées les sauvegardes
• À qui sont envoyées les données
• Quelles mesures Suivi du traitement (avec la date et le détail de chaque modification
• Type et date du consentement
• Est-ce que sont des données archivées ?
  • Modalités d’accès et de stockage à ces données archivées
• Procédures détaillées de destruction ou d’archivage prévues au terme de la durée de conservation

Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

• Vous souhaitez réagir ?
  Profitez-en pour laisser un commentaire ci-dessous.

• Vous souhaitez mettre votre établissement en conformité avec le RGPD ?
  Consultez nos bons conseils, contactez-nous, demandez-nous un devis.

• Vous êtes futur ou actuellement DPO et souhaitez être rassuré ou accompagné dans vos démarches ? Nous proposons des accompagnements sur mesure

• Vous souhaitez mettre en place des démarches pour améliorer votre cybersécurité ? Nous pouvons vous accompagner

Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

• Vous souhaitez réagir ?
  Profitez-en pour laisser un commentaire ci-dessous.

• Vous souhaitez mettre votre établissement en conformité avec le RGPD ?
  Consultez nos bons conseils, contactez-nous, demandez-nous un devis.

• Vous êtes futur ou actuellement DPO et souhaitez être rassuré ou accompagné dans vos démarches ? Nous proposons des accompagnements sur mesure

• Vous souhaitez mettre en place des démarches pour améliorer votre cybersécurité ? Nous pouvons vous accompagner