Information importante sur le RGPD – Devoir d’information

A cet effet, les administrations, professionnels et associations, doivent réaliser une démarche de mise en conformité avec le RGPD.
Vous êtes concerné et pouvez assurer vous même cette action ou bien faire appel à des experts.
Quels que soient votre choix et position, entamez d’ores et déjà une démarche de mise en conformité.
Sachez que depuis 2010 nous accompagnons des organismes dans ces formalités.

Plus d’informations sur www.cnil.fr/fr/rgpd-par-ou-commencer ou sur notre site Internet www.leNetExpert.fr dans la rubrique Mise en conformité avec le RGPD

RGPD et les Administrations : Faîtes au moins les premières démarches !

25 mai 2018, c’est la date de mise en application du RGPD (Règlement Général sur la Protection des Données n°2016/679). Tout le monde en parle et beaucoup vous font peur. Cependant, la Présidente de la CNIL l’a dit : « Cette date ne sera pas une date couperet ».

Sauf pour la désignation officielle d’un Délégué à la Protection des Données et pour des cas spécifiques de traitement de données à caractère sensible au titre de la Loi Informatique et Libertés et du RGPD où vous devez déjà avoir entamé une démarche de mise en conformité, les administrations doivent planifier cette action mise en conformité sur plusieurs mois voire plusieurs années.

Le plus dur est de commencer. De nombreux guides de la CNIL ont été rédigés pour vous accompagner de la phase d’accompagnement jusqu’au suivi de vos systèmes de traitements de données à caractère personne. Une fois les premières démarches accomplies, la tenue d’une mise en conformité est très simple. Encore faut-il avoir appris ce qu’il faut faire !

Fort de mes années d’expérience de Collectivités, Expert de justice en Informatique spécialisé en cybercriminalité et en RGPD, je me tiens à votre disposition si vous souhaitez traiter de ce sujet au cours de conférences, réunions, formations ou tout simplement envisager un accompagnement dans cette mise en conformité.

A votre rythme mettez-vous en conformité avec le RGPD

Juste pour vous informer que le RGPD rentre officiellement est application à partir le 25 mai 2018 et que la présidente de la CNIL (AAI chargée de faire respecter ce règlement en France) a laissé un délai supplémentaire aux entreprises avant de démarrer les contrôles.

A partir du 25 mai 2018, vous n’allez pas voir débarquer chez vous les militaires, et la vie de votre organisme ne va pas s’en trouver bloquée, cependant, les risques de piratage, de contrôle de la CNIL et les montants des sanctions augmentant de manière significative.

Même si votre démarche de mise en conformité n’est qu’à ces débuts, à votre rythme, poursuivez-la. Prenez contact avec un expert en RGPD, participez à une formation, démarrage des 6 étapes (https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes), faîtes ce que vous voulez mais faîtes au moins quelque chose.

RGPD : Le 25 mai 2018 est passé et vous n’êtes pas encore en conformité avec le règlement ? Que risquez-vous vraiment ?

Comme l’a encore indiqué récemment Isabelle Falque-Pierrotin, la présidente de la CNIL, « Le 25 mai ne sera pas une date couperet pour les sanctions » contre entreprises, administrations et associations concernées par la nouvelles réglementation européenne sur la Protection des Données à caractère personnel.

24 MAI 2018 23h59

La France est déjà bien endormie et, mis à part quelques rares entreprises Européennes ayant déjà entamé une démarche de mise en conformité depuis l’ancienne réglementation relative à la protection des données à caractère personnel, des millions d’entreprises n’ont absolument aucune conscience du top départ de nouvelles obligations et sanctions applicables en référence au RGPD.

Plus que quelques secondes avant le 25 mai 2018 0h00 et des milliers d’entreprises, administrations et administrations sont en stress à la suite des millions de messages alarmants envoyés ces derniers mois sur les obligations à mettre en place au plus tard à cette date limite.

DÉMARCHE LONGUE MAIS PAS FORCÉMENT COÛTEUSE

Cette démarche est longue car elle n’a pas de fin et « on ne devient pas conforme avec le RGPD » (puisqu’il n’existe pas de référentiel et que le contexte à analyser est sans cesse en mouvement) mais « on met en place une démarche de mise en conformité avec le RGPD ». Cette démarche doit être prise en compte et s’intégrer dans la continuité de l’activité de l’organisme, sans la révolutionner, mais juste l’adapter à des obligations vieilles de plus de 40 ans, la Loi n° 78-17 du 6 janvier 1978 dite Loi Informatique & Libertés ou aussi Loi I&L.

De plus, cette démarche n’est pas forcément coûteuse, car elle dépend avant tout de la manière dont vous souhaitez y participer en mouillant le maillot. Bien que recommandée, la contractualisation d’un service d’accompagnement par un professionnel n’est nullement obligatoire. Par contre, nous vous conseillons la mise en place de démarches de formations qui seront utiles à la fois pour acquérir une autonomie et profiter de la prise en charge financière des formations permettant justement d’acquérir cette autonomie. Des aides financières existent pour ça. Rapprochez-vous de votre comptable ou de votre organisme collecteur de vos charges sociales.

A PARTIR DU 25 MAI 2018 0H00

La CNIL a aujourd’hui conscience qu’au lieu de mettre en place les nouvelles mesures de  conformité avec le RGPD depuis le 27 avril 2016 comme cela avait prévu, avec la possibilité d’appliquer les nouvelles sanctions maximales (20 millions d’euros ou 4% du Chiffre d’Affaire mondial) le 25 mai 2018, une très grande partie des entreprises, administrations et associations se sont réveillées pour la plupart au mois de mars, avril et même mai 2018 pour certains dans le but d’initier cette longue démarche réglementaire.

Même si vous avez très peu de risque d’être contrôlé LE 25 mai 2018, avec quelques années d’expérience et le rapports d’activités de la CNIL de ces dernières années en main, ne pas avoir entamé de démarche de mise en conformité à partir de cette date vous expose toutefois à quelques situations dont le risque ne peu être négligeable :

• En 2017, 8360 plaintes ont été déposées à la CNIL. 100% des plaintes ont été prises en compte, c’est-à-dire qu’elle a demandé des explications à chacun des organismes concernés qui ont du montrer patte blanche. En raison d’un salarié mécontent ou licencié, d’un concurrent peu diligent ou d’un vif ennemi, vous pouvez facilement vous retrouver à devoir donner des explications à la CNIL. Il vaut mieux que le jour où ça vous arrive, vous ayez déjà entamé une démarche de mise en conformité et que vous soyez diligents vis-à-vis de la CNIL, sinon, vous pourriez bien voir arriver chez vous ses contrôleurs, assermentés avec pouvoir de sanctionner sans le moindre jugement (la CNIL étant une autorité administrative indépendante comme l’ARCEP et une cinquantaine d’autres en France) ;
• En 2017, 62% des contrôles ont été effectués à l’initiative de la CNIL, notamment au vu de l’actualité. Ceci signifie que les contrôles ne dépendent pas du hasard ni de votre position géographique dans une ville ou le numéro de votre rue, mais les contrôles de la CNIL dépendent de faits liés à des risques bien réels constatés auprès d’autres organismes ayant la même activité que la votre ;
• En France en 2017, selon Symantec, il y a eu 19 millions de victimes de la cybercriminalité. Parmi ces victimes, il n’est pas rare de voir des entreprises, des administrations ou des associations qui ont subit un vol de données. A partir du 25 mai 2018 à 0h00, tous ces organismes doivent signaler dans les 72 heures à la CNIL qu’ils ont été victimes d’un vol de données. Il est évident que pour la plupart des fuites de données, la CNIL demandera des explications à leur détenteur et responsable de leur confidentialité. Vous devrez là aussi donner des explications à la CNIL au sujet de l’absence de démarche de mise en conformité avec la CNIL ;
• Enfin, parmi les grands changements du RGPD nous trouvons la suppression des déclarations préalables. C’est-à-dire qu’avant le 25 mai 2018 0h00 vous devez toujours avoir des démarches déclaratives de vos traitements de données à caractères personnel, à partir du 25 mai 2018, vous devez avoir une démarche de « privacy by design » (protection de la vie privée obligatoire) et devrez rendre compte à la CNIL de vos démarche seulement sur demande de sa part. Cependant, tous les employés de la CNIL qui étaient chargés de traiter les déclarations pourraient bien se voir affectés aux contrôles, renfonçant ainsi les capacités de contrôle de la CNIL pour en augmenter leur volume. Moins de formalités à la CNIL pour avoir plus de temps pour les contrôles ?

QUE VA CHANGER LA MISE EN APPLICATION DU RGPD

Le Règlement Général sur la Protection des Données est une poursuite de la Loi n°78/16  Informatique & Libertés avec toutefois quelques mesures en faveur des individus mais aussi quelques nouveautés parmi lesquelles :

• Conséquence n°1 : Pas en conformité avec le RGPD = fin du travail avec ou pour les administrations ou sous-traitants d’administrations. En effet, toutes les administrations, obligées de ce conformer à ce règlement, devront désigner un délégué à la Protection des Données (DPD en français ou DPO Data Protection Officer en anglais). Le DPD aura obligation d’entamer une démarche de mise en conformité auprès de son organisme mais aussi auprès de tous les sous-traitants de l’organisme, sous peine de ne pas être lui même en règle; Tous les organismes qui travaillent avec les administrations et leurs sous-traitants devront donc obligatoirement, pour prétendre se positionner sur des marchés publics, se mettre en conformité ;
• Conséquence n°2 : La mise en application de sanctions bien plus importantes (20 millions d’euros ou 4% du chiffre d’affaire en lieu et place de 150 000 euros ;
• Conséquence n°3 : Désormais plus de 80%  des utilisateurs d’Internet déclarent être soucieux de la protection mise en place par les sites Internet et les fournisseurs autour de leurs données personnelles. Beaucoup ne veulent plus communiquer leur vrai nom, leur adresse perso ou leur numéro de téléphone perso. Beaucoup utilisent des pseudos ou des adresses e-mail poubelle pour ne pas risquer de se voir polluer ou pire pirater leur boite. Ne pas montrer auprès de ses contacts qu’une démarche de mise en conformité est en place aboutira tôt ou tard à une fuite des clients ou adhérents vers d’autres organismes affichant et prouvant leur respect des droits et libertés des personnes ;
• Conséquence n°4 et pas des moindres : Vous devrez obligatoirement obtenir le consentement de quelqu’un avant de traiter ses données. L’obligation du consentement des propriétaires de données personnelles n’ayant pour la plupart du temps jamais été sollicité par les organismes, c’est la raison pour laquelle pour pouvez recevoir des e-mails vous demandant si vous êtes toujours d’accord pour recevoir des informations de la part d’un contact, fournisseur, ou tout simplement parfois un pollueur… Un bon moyen pour réduire le nombre de mails dans sa boite de réception mais aussi de faire le ménage dans les coordonnées utilisées par les expéditeurs ;
• Conséquence n°5 : Si vous êtes victime d’une fuite de données et qu’une personne victime de cette fuite décide de vous attaquer, vous êtes pénalement responsable. Votre niveau de responsabilité et le montant des sanctions appliquées seront immédiatement en corrélation avec les démarches que vous avez déjà accomplies. Au plus vous prouvez votre bonne fois par une prise en prise en compte (par le biais de formations et de démarches internes)  des démarches visant à protéger les libertés fondamentales et individuelles de vos contacts, au plus la CNIL sera bienveillante. Au plus vous ferez preuve de mauvaise foi sans apporter le moindre élément montrant la prise en compte de vos obligations relatives au RGPD, plus forte sera la sanction.
• Conséquences n°6 : Un nouveau droit à la portabilité, la majorité numérique et un droit à l’effacement apparaissent également.

CONCLUSION

Vous l’autre compris, à partir du 25 mai 2018 0h00, vous n’allez pas voir débarquer chez vous les militaires, et la vie de votre organisme ne va pas s’en trouver bloquée, cependant, les risques de piratage, de contrôle de la CNIL et les montants des sanctions augmentant de manière significative, même si votre démarche de mise en conformité n’est qu’à ces débuts, à votre rythme, poursuivez-la. Prenez contact avec un expert en RGPD, participez à une formation, mettez en application les 6 étapes recommandées par la CNIL (https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes), faîtes ce que vous voulez mais faîtes au moins quelque chose.

RGPD : Que se passera t-il si le 25 mai 2018 un établissement n’est pas en conformité ?

RGPD : « Le 25 mai ne sera pas une date couperet pour les sanctions », assure la CNIL

La présidente de la CNIL, Isabelle Falque-Pierrotin, se veut rassurante. La Commission contrôlera d’abord la mise en mouvement de l’entreprise plutôt que la complète conformité au règlement général sur la protection des données (RGPD). En tout cas durant les premiers mois.

Vous avez reconnu que toutes les entreprises ne seront pas prêtes le 25 mai. Faut-il craindre une vague de contrôles lors de l’entrée en vigueur du RGPD ?
Il ne faut pas voir le 25 mai comme une date couperet, synonyme d’une intervention massive de la CNIL. Le fait qu’un bon nombre d’entreprises ne soient pas 100 % conformes n’est pas très grave. L’important est que l’ensemble des acteurs actent le changement d’état d’esprit et lancent un plan pour décliner les nouvelles obligations dans leurs différents processus. Ils doivent comprendre que l’enjeu de la protection des données personnelles a changé de positionnement, ce n’est plus seulement une affaire de la direction juridique mais une problématique qui traverse toute l’entreprise. Pour cela, le régulateur qu’est la CNIL se met à leur service – notamment via la publication d’outils – pour les accompagner vers la conformité.

Concernant les nouvelles obligations du RGPD, la date du début des sanctions n’est pas actée. Il n’y aura pas d’automatisme et nous examinerons au cas par cas, afin de savoir si l’entreprise s’est effectivement préoccupée de la protection des données personnelles….[lire la suite]

Formation RGPD/DPO : Concrètement, comment se mettre en conformité avec le règlement ?

Comme nous l’avons détaillé sur notre page dédiée (Formation RGPD : Ce n’est pas qu’une affaire de juristes), les 6 étapes recommandées par la CNIL pour vous préparer au RGPD sont :

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

De nombreuses personnes ayant assisté à des tables rondes, des conférences ou ayant suivi des formations gratuites ou payantes d’une journée sur le RGPD nous ont expliqué avoir assisté à un déballage des principaux considérants (parmi les 173) et les principaux articles (parmi les 99) montrant l’aspect compliqué à mettre en oeuvre ce règlement européen et la nécessité de faire appel à un spécialiste.

D’ailleurs, si vous voulez en avoir plein la vue, vous pouvez toujours les consulter sur le texte officiel du RGPD, celui que mis à disposition par la CNIL : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

Je ne souhaite pas vous faire croire que l’aide d’un spécialiste est inutile, mais elle doit, selon moi, s’adapter à la fois à la taille de la structure qui souhaite faire la démarche, aux ressources dont elle dispose ainsi  qu’à son activité professionnelle.

RGPD : Quelles sont les obligations des sous-traitants européens ?

Les bonnes question à se poser sont :

• Suis-je bien sous-traitant ? au regard du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 sir RGPD (Règlement Général sur la Protection des Données).
• Quelles sont vos obligations à compter du 25 mai 2018 ?
• Par où commencer ?
• Si je fais appel à un autre sous-traitant, quelles sont mes obligations ?
• Les contrats en cours avec mes clients doivent-ils être modifiés ?
• Quel est mon rôle en cas de violation de données ?
• Quel est mon rôle dans le cadre de l’analyse d’impact ?
• Puis-je bénéficier du mécanisme de guichet unique ?
• Quelles sont mes obligations si je ne suis pas établi dans l’UE ?
• Quels sont les risques en cas de non-respect de mes obligations ?
• et surtout, concrètement, comment se mettre en conformité ?

VOUS POUVEZ COMPTER SUR NOUS SI :

VOUS ÊTES UN AVOCAT ?
et vous souhaitez aborder cette activité accompagné d’un Expert en Cybercriminalité et en Protection des Données à Caractères Personnel à couverture nationale ?

VOUS ÊTES UN CLUB, UNE FEDERATION, UNE CORPORATIONS ?
et vous souhaitiez organiser une conférence ou une formation ?

VOUS AVEZ UNE ACTIVITE DANS LE DOMAINE DE L’INFORMATIQUE ?
et vous souhaitez vous mettre en conformité avec le RGPD ?

Nous pouvons vous accompagner. Contactez-nous

Vous êtes victime de Cyberarnaques ? Redoublez de prudence car la justice pourrait bien vous donner tort !

Vous êtes victime de Cyberarnaques ? Redoublez de prudence car la justice pourrait bien vous donner tort !

Par un arrêt du 25 octobre 2017, la Cour de cassation a annulé le jugement de la juridiction de proximité de Calais qui avait ordonné à la Caisse du crédit mutuel de Calais de rembourser les sommes prélevées sur le compte d’une victime d’une opération de phishing. La Cour reproche au tribunal de s’être ainsi déterminé sans rechercher si la victime en cause « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier ».…[lire la suite]

RGPD : Êtes-vous concerné par la mise en place d’un registre ? Téléchargez le modèle de registre RGPD officiel

Le principe d’accountability est la responsabilisation des opérateurs afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue. Les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (= documenter la conformité). Tout au long du processus de traitement des données, le responsable du traitement devra non seulement garantir mais aussi être en mesure de démontrer qu’il respecte les droits des personnes au regard des finalités du traitement et des risques inhérents au traitement.

Même si, selon l’article 30 du RGPD, seules les organisations comptant au moins 250 salariés doivent mettre en place un registre (document regroupant l’ensemble des traitements, leurs caractéristiques et leur suivi), puisque cette obligation de documentation de conformité (accountability) concerne l’ensemble des établissements professionnels, administratifs et associatifs, même si votre organisme est unipersonnel et ne compte pas plus de 249 salariés, je vous conseille fortement d’utiliser les modèles de registre de la CNIL afin de documenter les traitements réalises par votre établissement.

Vous pouvez télécharger le modèle de registre officiel fourni par la  CNIL ci-dessous :
Modèle de registre règlement européen (Excel) – Cnil

La CNIL vient de mettre à disposition

Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures.
Modèle de Registre CNIL pour les petites structures

Consulter des conseils pour remplir le registre CNIL

ou aller sur le site Officiel de la CNIL pour consulter la page dédiée au registre RGPD.

RGPD : Quelles sont les conséquences concrètes ?

S’agissant des traitements actuellement soumis à une autorisation, le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.

Par ailleurs, le responsable de traitement (ou le sous-traitant) devra :

• Désigner un représentant basé dans l’Union Européenne ;
• Notifier les failles de sécurité aux autorités et personnes concernées ;
• Désigner un Délégué à la Protection des Données (DPO / Data Protection Officer) s’il appartient au secteur public, si ses activités principales l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, ou amène à traiter (toujours à grande échelle) des données sensibles ou relatives à des condamnations pénales et infractions ;
• Mener des analyses d’impact sur la vie privée ;
• Tenir un registre des activités de traitements mis en œuvre (article 30), s’il compte au moins 250 employés ou si le traitement effectué est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des données sensibles ou relatives à des condamnations pénales et infractions.

Même si tenir un registre des activités de traitement n’est obligatoire pour des établissement comptant au moins 250 employés, la démarche de mise en conformité ne pouvant être sérieusement assurés qu’en listant les traitements et identifiant les traitements à risques, la mise en oeuvre d’un registre, même simplifié, reste une démarche minimale que je recommande.

Denis JACOPINI

Besoin d’un accompagnement pour vous mettre en conformité avec le RGPD ? ?

Besoin d’une formation pour apprendre à vous
mettre en conformité avec le RGPD  ?

Contactez-nous

A Lire aussi :

Mise en conformité RGPD : Mode d’emploi

RGPD : Que se passe t-il si le 25 mai 2018 nous n’avons pas terminé notre mise en conformité ?

Formation RGPD/DPO : Concrètement, comment se mettre en conformité avec le règlement ?

Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016

Le RGPD, règlement européen de protection des données. Comment devenir DPO ?

Comprendre le Règlement Européen sur les données personnelles en 6 étapes

Notre sélection d’articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

Notre métier : Vous accompagner dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles

Réagissez à cet article