Contactez-nous au : 01 44 07 19 03

AVOCAT RGPD

Se mettre en conformité pour susciter la confiance

Le règlement général sur la protection des données (RGPD) responsabilise les personnes morales qui traitent des données. La collecte et le traitement de données personnelles implique de prendre des mesures fortes afin de garantir une utilisation respectueuse de la vie privée des utilisateurs.

Vous accompagner dans vos démarches RGPD

Forte de son expérience, l’équipe RGPD de DJS AVOCATS vous accompagne dans vos démarches de mise en conformité avec le RGPD. L’écosystème des start-ups est de plus en plus dynamique. Les structures se multiplient et leur structuration juridique et financière est de plus en plus sophistiquée. Ces entreprises innovantes sont confrontées à de nombreux défis, surtout en phase de démarrage. Il est donc important de ne pas minimiser les aspects juridiques de leur activité.

Fort de son expérience, l’équipe RGPD de DJS AVOCATS vous accompagne dans vos démarches de mise en conformité avec le RGPD.

Quels sont les grands principes du règlement?

Les données personnelles d’une personne ne peuvent être collectées et traitées qu’une fois le consentement de cette personne recueilli de manière expresse.

Pour garantir le caractère exact des données traitées, toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui seraient inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

Les données ne peuvent être collectées que pour des finalités :

  • Déterminées
  • Légitimes

Les données sont conservées pendant une durée n’excédant pas la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris :

  • La protection contre le traitement non autorisé ou illicite
  • Et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Toute personne dispose librement du droit à la portabilité de ses données, du droit d’accès à celles-ci, au droit à la limitation des données, de rectification, d’opposition ou encore du droit à l’oubli.

Élément central du droit RGPD, le texte rend obligatoire la réalisation d’une analyse d’impact dans plusieurs types d’opérations de traitement mettant en cause des données jugées sensibles (notamment origine raciale ou ethnique, données de santé, données de localisation), se décomposant en plusieurs parties :

  • La première partie décrit de manière détaillée le (s) traitement[s) mis en oeuvre (aspects techniques et opérationnels);
  • La deuxième partie concerne l’évaluation juridique de la nécessité et de la proportionnalité des traitements au regard des principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) qui sont fixés par la réglementation et doivent être respectés;
  • La troisième partie concerne l’étude technique des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts.

Analyse d’impact

L’AIPD est aujourd’hui indispensable pour démontrer la conformité du traitement de données au Règlement général sur la protection des données.

Décrit de manière détaillée le(s) traitement(s) mis en oeuvre (aspects techniques et opérationnels);

Concerne l’évaluation juridique de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) qui sont fixés par la réglementation et doivent être respectés;

Concerne l’étude technique des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts.

Qu'est-ce qu'une donnée
à caractère personnel ?

Sont considérées comme des données à caractère personnel toutes les données permettant d’identifier ou de rendre identifiable une personne physique.

Ce sont toutes les données permettant d’identifier une personne directement ou indirectement, par référence à un identifiant, tel que :

  • Nom
  • Numéro d'identification
  • Données de localisation
  • Identifiant en ligne
  • Un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ( art 4 .1 du RGPD )

Il s’agit également de données
« pseudonymisées » c’est-à-dire, les données qui ne peuvent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.

Certaines données sont toutefois exclues du champ d’application du RGPD.

C’est le cas des données anonymes qui ne permettent pas d’identifier une personne précise.

Êtes-vous
concerné ?

  • Toute entreprise hors UE, qui traite des données à caractère personnel de personnes résidant dans l’UE, dés lors que ses activités sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
  • Les PME, pour qui les obligations sont toutefois allégées lorsqu’elles emploient moins de 250 salariés.
  • Tout établissement, qu’il soit responsable du traitement de données ou sous-traitant, établi sur le territoire de l’Union Européenne (UE).

Que faut-il faire pour que votre entreprise respecte le RGPD ?

Désigner un « Data Protection Officer »

Le règlement impose aux entreprises ou sous-traitants dans certains cas spécifiques de désigner un délégué à la protection des données afin qu’il pilote la conformité interne des entreprises. Au regard de son expertise approfondie en matière de RGPD, le cabinet DJS Avocats est désigné par de nombreuses entreprises en qualité de DPO (art. 37).

Respecter le principe d’« Accountability »

Le responsable de traitement doit être en mesure de prouver, à tout moment, que la protection des données qu’il traite est assurée conformément au règlement. Cela passe notamment par la tenue d’un registre de traitement ( art. 24 ).

Respecter les principes de « Privacy by design et by Default »

Dès la conception d’un produit (« by design »), l’entreprise doit prendre en compte les principes de protection des données et s’assurer que par défaut (« by default »), seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement soient traitées.

Respecter les droits des utilisateurs

Le droit d’accéder aux données, le droit de rectification, d’opposition, le droit à l’oubli (droit à l’effacement), à la limitation du traitement, à la portabilité des données.

Notifier toute violation de données à caractère personnel aux autorités

Toute violation de données à caractère personnel doit être notifiée, le cas échéant par le délégué à la protection des données, aux autorités de contrôle (la CNIL) ainsi qu’aux personnes concernées, selon une procédure identifiée de notification.

Comment se faire accompagner ?

Charte informatique

Accord de confidentialité avec les prestataires

Mise en place d’une étude d’impact

Mise en place du consentement des utilisateurs

Liste des processus interne

Liste des risques

Politique de confidentialité

Registre de traitement
des données personnelles

Intégration clauses relatives à la sous-traitance

Découvrir le dictionnaire juridique

Parce que certains termes juridiques restent complexes et difficilement compréhensibles, nous avons décidé de définir ce jargon de façon simple, pour une meilleure compréhension des notions clés. Pour contribuer à notre lexique juridique, écrivez-nous à l’adresse contact@djs-avocats.com.

Vous souhaitez en savoir plus sur la RGPD ?

Vous souhaitez des renseignements sur nos prestations ? Contactez-nous par téléphone ou via le formulaire suivant.

Nous reviendrons vers vous dans les plus brefs délais.

   +33 1 44 07 19 03
   contact@djs-avocats.com
   5 Rue Lincoln, 75008 Paris - FRANCE

  • *Champs obligatoires

Vous avez des questions ?

Pourquoi faut-il rédiger une politique de confidentialité ?

Quels sont les droits des individus sur le traitement de leurs données personnelles ?

Quelles sont les conséquences du recours par une entreprise à un sous-traitant, en termes de RGPD ?

Est-il possible de procéder à la vente de données à caractère personnel ?

Quels sont les risques du non-respect par les entreprises du RGPD ?

Pourquoi désigner un délégué à la protection des données ?

Quels organismes sont concernés par le RGPD ?

Pourquoi faut-il rédiger une politique de confidentialité ?

  • La politique de confidentialité, également appelée « politique de protection des données personnelles » sert principalement à informer les utilisateurs sur les caractéristiques des traitements de données à caractère personnel que le site internet réalise.
  • La politique de confidentialité a également pour vocation d’informer les utilisateurs sur les droits dont ils bénéficient concernant leurs données personnelles.
  • Ce document d’information devra être librement accessible sur toutes les pages du site internet.

Quels sont les droits des individus sur le traitement de leurs données personnelles ?

  • Les personnes concernées par un traitement de données disposent de plusieurs droits leur permettant de garder la maîtrise des informations les concernant.
  • Le Règlement Général sur la Protection des Données (RGPD) permet à chaque individu de bénéficier de droits sur le traitement de ses données personnelles, tels que le droit à l’information, le droit d’opposition, le droit d’accès et de rectification, le droit à la portabilité de leurs données.
  • Les entreprises doivent mettre en place une organisation chargée de traiter ce type de demandes.

Quelles sont les conséquences du recours par une entreprise à un sous-traitant, en termes de RGPD ?

  • Le responsable de traitement et le sous-traitant doivent organiser leurs rapports et obligations respectives au regard de la protection des données personnelles par le biais d’un contrat ainsi qu’intégrer les mentions obligatoires prévues par l’article 28.3 du RGPD.
  • Le responsable de traitement doit également s’assurer que son sous-traitant respecte le RGPD, tient un registre des activités de traitement effectuées pour le compte du responsable de traitement et tient à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

Est-il possible de procéder à la vente de données à caractère personnel ?

  • Il n’existe pas de droit de propriété sur les données personnelles qui supposerait un pouvoir absolu et exclusif sur une chose.
  • La règlementation relative à la protection des données personnelles reconnait aux personnes des droits sur leurs données, auquel il n’est pas possible, de renoncer. Ainsi, la vente de données présupposerait une renonciation à ces droits, ce qui impliquerait que les acquéreurs de données seraient libres de les utiliser sans que les personnes auxquelles ces données se rapportent ne puissent plus jamais avoir un droit de regard sur cette utilisation.
  • En revanche, le fait d’utiliser ces données comme contrepartie, par exemple, à un service, pourrait être envisageable mais de manière encadrée et notamment par le droit de la consommation et la protection des données personnelles. A ce titre, les personnes concernées devront avoir la maîtrise de leurs données, ce qui passe en premier lieu par l’information de l’utilisation qui en est faite, ainsi que leur consentement dans certains cas.

Quels sont les risques du non-respect par les entreprises du RGPD ?

  • L’autorité de régulation de protection des données personnelles française, la Commission Nationale Informatique et Libertés (CNIL), dispose de pouvoirs de contrôle et de sanction des organismes, en cas de manquements au RGPD ou à la loi Informatique et Libertés.
  • A l’issue de contrôles ou plaintes, la CNIL peut prononcer des sanctions et notamment des sanctions pécuniaires qui peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.
  • Ces sanctions peuvent être rendues publiques et impacter considérablement la réputation de l’entreprise.

Pourquoi désigner un délégué à la protection des données ?

  • Le délégué à la protection des données est la personne référente en matière de protection des données au sein de son organisme.
  • Il a pour mission d’informer et de conseiller l’organisme sur toutes les questions en la matière, de contrôler le respect du règlement et du droit national en matière de protection des données, de coopérer avec la CNIL et d’être le point de contact de celle-ci.
  • Si tous les organismes ne sont pas dans l’obligation d’en désigner un, la CNIL recommande fortement de désigner une personne chargée de s’assurer de la mise en conformité au règlement européen.

Quels organismes sont concernés par le RGPD ?

  • Tout organisme, peu importe sa taille, son lieu d’implantation et son activité est concerné par la règlementation dès lors qu’il est établi sur le territoire de l’Union européenne, ou que son activité cible des résidents européens.
  • Ainsi, une société établie en France qui traite avec des clients d’un autre continent, devra respecter le RGPD, de même qu’une société établie hors de l’Union européenne mais dont l’activité viserait notamment des européens.
  • La politique de confidentialité, également appelée « politique de protection des données personnelles » sert principalement à informer les utilisateurs sur les caractéristiques des traitements de données à caractère personnel que le site internet réalise.
  • La politique de confidentialité a également pour vocation d’informer les utilisateurs sur les droits dont ils bénéficient concernant leurs données personnelles.
  • Ce document d’information devra être librement accessible sur toutes les pages du site internet.
  • Les personnes concernées par un traitement de données disposent de plusieurs droits leur permettant de garder la maîtrise des informations les concernant.
  • Le Règlement Général sur la Protection des Données (RGPD) permet à chaque individu de bénéficier de droits sur le traitement de ses données personnelles, tels que le droit à l’information, le droit d’opposition, le droit d’accès et de rectification, le droit à la portabilité de leurs données.
  • Les entreprises doivent mettre en place une organisation chargée de traiter ce type de demandes.
  • Le responsable de traitement et le sous-traitant doivent organiser leurs rapports et obligations respectives au regard de la protection des données personnelles par le biais d’un contrat ainsi qu’intégrer les mentions obligatoires prévues par l’article 28.3 du RGPD.
  • Le responsable de traitement doit également s’assurer que son sous-traitant respecte le RGPD, tient un registre des activités de traitement effectuées pour le compte du responsable de traitement et tient à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.
  • Il n’existe pas de droit de propriété sur les données personnelles qui supposerait un pouvoir absolu et exclusif sur une chose.
  • La règlementation relative à la protection des données personnelles reconnait aux personnes des droits sur leurs données, auquel il n’est pas possible, de renoncer. Ainsi, la vente de données présupposerait une renonciation à ces droits, ce qui impliquerait que les acquéreurs de données seraient libres de les utiliser sans que les personnes auxquelles ces données se rapportent ne puissent plus jamais avoir un droit de regard sur cette utilisation.
  • En revanche, le fait d’utiliser ces données comme contrepartie, par exemple, à un service, pourrait être envisageable mais de manière encadrée et notamment par le droit de la consommation et la protection des données personnelles. A ce titre, les personnes concernées devront avoir la maîtrise de leurs données, ce qui passe en premier lieu par l’information de l’utilisation qui en est faite, ainsi que leur consentement dans certains cas.
  • L’autorité de régulation de protection des données personnelles française, la Commission Nationale Informatique et Libertés (CNIL), dispose de pouvoirs de contrôle et de sanction des organismes, en cas de manquements au RGPD ou à la loi Informatique et Libertés.
  • A l’issue de contrôles ou plaintes, la CNIL peut prononcer des sanctions et notamment des sanctions pécuniaires qui peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.
  • Ces sanctions peuvent être rendues publiques et impacter considérablement la réputation de l’entreprise.
  • Le délégué à la protection des données est la personne référente en matière de protection des données au sein de son organisme.
  • Il a pour mission d’informer et de conseiller l’organisme sur toutes les questions en la matière, de contrôler le respect du règlement et du droit national en matière de protection des données, de coopérer avec la CNIL et d’être le point de contact de celle-ci.
  • Si tous les organismes ne sont pas dans l’obligation d’en désigner un, la CNIL recommande fortement de désigner une personne chargée de s’assurer de la mise en conformité au règlement européen.
  • Tout organisme, peu importe sa taille, son lieu d’implantation et son activité est concerné par la règlementation dès lors qu’il est établi sur le territoire de l’Union européenne, ou que son activité cible des résidents européens.
  • Ainsi, une société établie en France qui traite avec des clients d’un autre continent, devra respecter le RGPD, de même qu’une société établie hors de l’Union européenne mais dont l’activité viserait notamment des européens.

Vous avez d'autres questions ?

Nos compétences

Adepte d'une approche à la fois moderne et pragmatique du droit, l'équipe de DJS AVOCATS s'applique à en faire un outil pratique favorisant le développement de l'activité des entreprises, en toute sécurité et au mieux de leurs intérêts juridiques et économiques.

Partenaire privilégié de ses clients, DJS AVOCATS, cabinet d'avocats spécialisé en droit des affaires, les accompagne tout au long de leur évolution et propose des solutions créatives et innovantes. Le cabinet veille au respect des valeurs indispensables de rigueur, d'éthique, de confiance, de loyauté et de fidélité.

Témoignages d’experts

Le respect du Règlement Général sur la Protection des Données est un enjeu européen majeur, assurant protection, harmonisation et garantie d’une juste régulation des données personnelles.

Jade GRIFFATON.
Avocate collaboratrice en droit du numérique

[testimonial]