CHARTE RGPD

INTRODUCTION

Ce document présente les processus de protection de données à caractère personnel conformément au Règlement Général sur la Protection des Données (RGPD) mis en place dans notre société.

Ce chapitre présente un résumé du règlement divisé en cinq parties.

Quoi ?

Le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

On définit par donnée à caractère personnel, toute information se rapportant à une personne physique identifiée ou identifiable. Cela concerne tous les interlocuteurs d’une entreprise qu’il s’agisse de ses salariés, clients ou encore partenaires et fournisseurs.

Certaines données personnelles ont un statut particulier : les données sensibles qui sont par principe interdites de traitement sauf exceptions prévues par le règlement. Il s’agit des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données génétiques, biométriques, ou encore celles concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Le traitement d’une donnée à caractère personnel est l’ensemble des opérations ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés sur la donnée (collecte, enregistrement, organisation, structuration, conservation, modification, communication… jusqu’à sa destruction).

Un traitement est licite dès lors qu’il répond à au moins une condition de l’article 6 du règlement: consentement de la personne physique, nécessité à l’application d’un contrat auquel la personne a souscrit, obligation légale, intérêts vitaux de la personne concernée ou d’une autre personne physique, nécessité d’ordre public.

Quand ?

Après de longs mois de discussions et d’amendements, le texte a finalement été adopté le 14 avril 2016. Il remplacera en France la Loi Informatique et Libertés à compter du 25 mai 2018, sans passer par une transposition nationale. Néanmoins, des décrets définiront les points laissés à l’appréciation de chaque pays membre.

Comment ?

La mise en conformité passe par la mise en place de mesures organisationnelles et techniques. Le règlement rappelle l’importance des certifications notamment dans le choix des sous-traitants. Le responsable de traitement a la possibilité de se faire aider par l’autorité locale qui explicitera les bonnes pratiques en fonction de son secteur d’activité. Si la nomination d’un DPD (Délégué à la Protection des données), qui remplacera la fonction du CIL actuel (Correspondant Informatique et Libertés), est encouragée, elle est obligatoire pour certaines organisations :

• les autorités ou les organismes publics ;

• les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;

• les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Son rôle est de centraliser et de coordonner en interne la gestion des traitements, notamment par de la sensibilisation. Il sera également le point de contact avec l’autorité locale pour remplir les formalités et coopérer en cas d’audit ou de litige.

Qui ?

Les entreprises et les administrations, ainsi que leurs sotraitants, effectuant un traitement de données à caractère personnel relatives à des ressortissants de l’Union européenne. La nouveauté du RGPD réside dans une responsabilisation accrue des sous-traitants, avec qui la responsabilité peut être partagée par voie contractuelle avec la notion de cotraitance.

Où ?

La territorialité s’étend désormais à l’international : les entreprises, responsables de traitement ou sous-traitants, hors de l’Union européenne sont concernées dès lors que le traitement s’applique à l’offre de biens ou de services s’adressant à des personnes dans l’U.E. ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’U.E.

En cas de traitement transfrontalier, le responsable de traitement peut définir quelle sera l’autorité locale référente (la CNIL en France) qui coopérera avec les autres autorités européennes. Cette notion de « guichet unique » s’adresse aussi aux personnes physiques qui souhaitent effectuer des réclamations : elles pourront passer par l’autorité locale de leur pays.

Les chapitres de ce document suivent le plan en six étapes définis par la CNIL

( https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes).

Le tableau suivant défini plusieurs termes utilisés dans les chapitres de ce document.


CHAPITRE 1 : DESIGNER UN RESPONSABLE DU TRAITEMENT DES DONNEES

Pour piloter la gouvernance des données personnelles de notre société, nous avons décidé de nommé un responsable du traitement de données.

Ce responsable exerce une mission d’information, de conseil et de contrôle en interne. Il est référent et responsable du traitement des données à caractère personnel. Il tient et rend accessible un registre et est garant des obligations liées à la loi. Il assure la sécurité informatique et simplifie les formalités auprès de la CNIL.

Il informe les responsables de traitement et les sous-traitants.

Il a l’appui total de la direction de notre entreprise pour mener à bien ses missions.

Voici les coordonnées du responsable du traitement des données de notre société :

Jean Fernandez

rgpd@marketime.fr

06 58 88 49 18

CHAPITRE 2 : CARTOGRAPHIER

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que nous traitons, notre société a recensé de façon précise les traitements de données personnelles. Nous avons élaboré un registre des traitements répondant aux questions suivantes.

Qui ?

Le registre contient le nom et les coordonnées du responsable du traitement (et de son représentant légal).

Les responsables des services opérationnels traitant les données au sein de notre société sont identifiés.

La liste des sous-traitants est établie.

Quoi ?

Les catégories de données traitées sont identifiées.

Les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions) sont identifiées.

Pourquoi ?

La ou les finalités pour lesquelles nous collectons ou traitons des données (exemple : gestion de la relation commerciale, gestion RH…) sont identifiées.

Où ?

Le lieu où les données sont hébergées sont définis.

Les pays où les données sont éventuellement transférées sont identifiés.

Jusqu’à quand ?

Pour chaque catégorie de données, le temps de conservation des données est défini.

Comment ?

Les mesures de sécurité sont mises en oeuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées sont en place.

Nous avons décidé de mettre en forme l’ensemble de ces informations dans un registre construit à partir du modèle de registre du règlement européen mis à la disposition par la CNIL :

https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

Liste des traitements de notre registre

Fiche de registre 






CHAPITRE 3 : PRIORISER

Sur la base de notre registre, nous avons identifié les actions à mener pour nous conformer aux obligations actuelles et à venir.

Nous collectons seulement les données personnelles strictement nécessaires et nos traitements des données personnelles se fondent sur une base juridique légitime en totale adéquation avec l’activité de notre entreprise.

Ce document est accessible :

Soit sur simple demande à notre responsable du traitement (ses coordonnées sont présentées ci-dessus).

Soit par téléchargement sur notre site Internet à adresse : Marketimehub.com

Nous avons informé nos sous-traitants de leurs obligations et de leurs responsabilités. Notre responsable du traitement s’est assuré de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées. La traçabilité des données personnelles confiées à nos sous-traitants est opérationnelle.

Les modalités d’exercice des droits des personnes concernées sont présentées dans la tableau ci-dessous.


NOTA : notre entreprise présente des exemples de formulaire d’exercice des droits des personnes concernées dans le chapitre 6.

Notre système d’information repose sur la solution Sunbren ( https://www.sunbren.com) qui inclut, entre autres, les mesures de sécurité mises en place pour la protection des données à caractère personnel. Elle comporte les mesures suivantes :

- Authentification de nos utilisateurs avec des mots de passe complexes via un protocole hautement sécurisé bloquant automatiquement les sessions après plusieurs tentatives infructueuses de connexion. Nos utilisateurs ne sont pas administrateurs de leurs sessions.

- Définition des droits d’accès pour l’accès aux données et aux applications par appartenance des utilisateurs à des groupes de sécurité.

- Antivirus, pare feu et bouclier intelligent supervisés.

- Installation des correctifs de sécurité à jour et automatisation des tâches courantes d’administration.

- Sauvegarde supervisée complétée par un plan de reprise d’activité.

- Les unités de disque de nos ordinateurs portables sont chiffrées par la solution Microsoft bitlocker.

- …

La durée de conservation des données à caractère personnel est de 5 ans.


CHAPITRE 4 : GERER LES RISQUES

Nous n’avons pas identifié de traitement de données personnelles susceptibles d’engendrer des risques élevés pour les droits et les libertés des personnes concernées.

Si un nouveau traitement devait être mis en place alors nous avons prévu de mener une analyse d’impact sur la protection des données (PIA).

Ce PIA permettra de créer un traitement conforme au RGPD et respectueux de la vie privée. Il sera réalisé avant la mise en oeuvre du traitement et sera basé sur un processus itératif. Des analyses régulières permettront de corriger le traitement notamment lors de changements majeurs de ses modalités.

Ce PIA respectera les 9 critères suivant :

- Evaluation ou notation.

- Décision automatisée avec effet juridique ou effet similaire significatif.

- Surveillance systématique.

- Données sensibles ou données à caractère hautement personnel.

- Données personnelles traitées à grande échelle.

- Croisement d’ensembles de données.

- Données concernant des personnes vulnérables.

- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles.

- Exclusion du bénéfice d’un droit, d’un service ou de contrat.


CHAPITRE 5 : ORGANISER

Nous avons mis en place les procédures internes suivantes pour prendre en compte la protection des données à tout moment.


CHAPITRE 6 : DOCUMENTER

L’ensemble de la documentation de la mise en conformité de notre entreprise au RGPD est présente dans ce document qui est révisé annuellement. Le chapitre « VERSION DU DOCUMENT » présente un tableau résumant les numéros de version, les dates et commentaires correspondants et l’auteur de la modification.

Les contrats avec les sous-traitants concernés par le RGPD sont stockés dans un répertoire sécurisé du système d’information Marketime Hub.

Exemples de formulaire d’exercice des droits des personnes concernées :