Le transfert des DCP hors de l’UE

Par principe le transfert des données personnelles hors de l’UE est interdit mais il existe des exceptions ainsi que des dérogations que nous allons voir.

On peut relever quatre grands ensembles d’exceptions :

  • Pays adéquats
  • Garanties appropriées (art 46) :
    • BCR (art 47) ;
    • Codes de conduite ;
    • Clauses contractuelles types (adoptées par commission européenne ou d’une AC approuvées par la commission).
  • Autres :
    • le consentement explicite de la PC (art 49) ;
    • l’exécution d’un contrat à la demande d’une PC ou dans son intérêt ;
    • l’intérêt public,
    • la sauvegarde des intérêts vitaux,… ;
    • une décision d’adéquation pour les instances internationales ou décision bilatérale entre états
  • Transferts non répétitifs touchant un nombre limité de personnes, nécessaires aux fins d’intérêts légitimes impérieux accompagnés de garanties appropriées (la CNIL doit être informée).

Concernant les pays adéquats autorisés il y a les pays tiers assurant un niveau de protection adéquat et dans ce cas ils n’y a pas besoin d’autorisation spécifique.
Sur quels critères est évaluée l’adéquation d’un pays ?
– l’état général et droit du pays, y compris les droits des personnes concernées à propos de leurs DCP ;
– l’existence et le fonctionnement d’une autorité de contrôle indépendante ;
– les engagements internationaux.
La CNIL met à disposition une carte interactive pour savoir quels pays sont adéquats : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde.

Il y a ensuite les BCR, soit la politique intragroupe en matière de transferts des DCP hors UE. Les BCR (Binding Corporate Rules – Règles d’entreprise contraignantes) concernent les multinationales exportant des données depuis leurs entités dans l’UE vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’UE. Elles offrent une protection adéquate aux données transférées depuis l’UE vers des pays tiers, au sein d’une même organisation ou d’un groupe. Et elles doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d’implantation.

Il y a également les CCT (Clauses Contractuelles Type dans le transfert de données), qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Les modèles de CCT sont toujours d’actualité et peuvent être utilisées dans l’attente d’une prochaine mise à jour (les CCT téléchargeables sur le site de la CNIL sont la dernière version publiée en 2004). Il existe deux modèles de CCT :

  • Les CCT encadrant les transferts de DCP entre deux Responsables de traitement
  • Les CCT encadrant les transferts de DCP entre un Responsable et un Sous-traitant de données personnelels

La méthodologie pour réaliser un transfert de données sous le régime de CCT est simple : il faut d’abord identifier les parties (deux RT ou RT/ST). Ensuite il faut compléter les CCT (notamment les annexes sur la description des transferts).

Si vous n’avez pas modifier le texte des CCT vous n’avez aucun démrache supplémentaire à faire auprès de la CNIL

Pour terminer il existe des dérogations, elles ne sont pas nombreuses et elles concernent :

  • Les institutions internationales telles que : Onu, Unesco, Sita,…
  • Le transfert vers les USA, à condition que l’entité destinataire des DCP ait adhéré à Privacy-shield.

La conservation des données personnelles

La conservation des données à caractère personnelle est un enjeu majeur pour qu’une entreprise puisse être en conformité avec le RGPD. Mais cette conservation sera différentes selon les données personnelles, selon les finalités d’un traitement, etc…

Le principe de conservation des données

La conservation des données personnelles ne peut pas être définitive, ce qui signifie qu’il faut définir une durée la plus stricte et la plus courte possible pour toute conservation. Il existe des cas particulier lorsqu’un texte législatif impose une durée plus longue, voir indéfinie.

La durée de conservation doit être définie en fonction des objectifs poursuivis et une fois ceux-ci atteints ces données devraient être supprimées, archivées ou anonymisées. Mais avant de définir une durée de conservation, tout responsable de traitement devra vérifier s’il n’existe pas une durée légale définie par la CNIL ou par un texte de loi.

La limitation de la conservation des données

La base active : C’est le premier cycle, il s’agit de la partie où les données sont conservées en fonction des durées définies soit par la législation, soit en fonction des finalités (on parle de durée courante d’utilisation des données).

L’archivage intermédiaire : les données doivent parfois être conservées plus longtemps, on va alors les placer dans un “archivage intermédiaire” avec un accès restreint. Les raisons peuvent être une obligation légale de conservation, un intérêt administratif (notamment en cas de contentieux) ou à des fins archivistes dans l’intérêt public.
Le responsable de ce fichier devra faire attention à ce que les données archivées soient celles strictement nécessaire. Enfin les services opérationnels ne pourront plus utiliser ces données.

L’archivage définitif : Selon le livre 2 du Code du Patrimoine, certaines données peuvent ne faire l’objet d’aucune suppression dans l’intérêt public. Mais cet archivage est géré par les services des archives compétents sur le territoire.
Pour ce type d’archivage il est recommandé de conserver les données sur un support physique indépendant et non accessible par les autres services.

Il est préférable de mettre en place le même process pour la suppression ou l’anonymisation des données que le process utilisé pour répondre au droit d’effacement.

Pour plus d’information concernant l’archivage électronique des données personnelles dans le secteur privé, vous pouvez consulter cette recommandation : https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957

Quelques exemples de conservation des données

Type de
données
Durée de conservationTexte législatif
Gestion du
personnel
5 ansArticle R.1221-26 Code du
Travail
Bulletin de paie5 ans après le départ du salariéArticle L.3243-4 Code du
Travail
Vidéosurveillance28 jours (1 mois)Article L.252-3 Code de la
sécurité intérieure
Prospection3 ans à compter de la fin de la relation commercialeDélibération n° 2016-264 du
21 juillet 2016 (CNIL)

L’identification d’une donnée personnelle

Le RGPD a pour objectif de protéger les personnes qui vous ont confié leurs données à caractère personnel, mais il faut comprendre de quoi il s’agit, et qu’est-ce que le règlement entend par donnée personnelle ?

Il s’agit de toute information qui se rapporte à une personne physique et qui permet d’identifier cette personne.

Les données concernant les personnes morales (une entreprise par exemple) ne sont donc pas concernées par le RGPD. On retrouve ces données, autant au format physique (papier), qu’au format numérique.

Une donnée sera considérée comme une donnée personnelle si elle permet :

  • l’identification directe : par exemple le nom et le prénom et l’adresse personnelle,
  • l’identification indirecte : par exemple un numéro de téléphone, une plaque d’immatriculation, soit toute information qui ne désigne pas directement une personne mais qui a elle seule permet son identification.

Il existe aussi certaines données, qui seules ne permettent pas l’identification directe ou indirecte d’une personne physique, mais lorsqu’on les regroupe on finit par identifier clairement une personne.

Par exemple, un prénom seul comme “François” ne permet pas une identification claire. En revanche, François, Scooter et Julie permettent d’identifier notre ancien président de la République, dans ce cas ces 3 données seront considérées comme des données personnelles et permettent une identification indirecte.

Pour que ces données ne soient plus considérées à caractère personnelle, il faut simplement les rendre anonymes pour que l’identification deviennent par la suite impossible. Par exemple la composition (hors toute donnée d’identification) des commandes réalisées sur un site internet

A la notion de donnée à caractère personnelle, il faut ajouter les questions de conservation, dans cet article nous n’allons pas détailler le sujet. Mais il est important de savoir que les traitements de toutes les données, en fonction de leur nature et de certains critères (comme l’objectif qui a conduit à leurs collectes) devront respecter un délai de conservation. Au delà de ce délai, les données devront être supprimées ou anonymisées.

La notion de sécurité des données personnelles est également très importante. Effectivement, la CNIL contrôle régulièrement la sécurité qui est mise en place autour de ces données. Il faut donc mettre en place différents moyens de sécurisation pour les données personnelles que l’on peut retrouver au format physique et/ou numérique. La sécurité à mettre en place est libre à chacun mais attention celle-ci doit être effective et fonctionnelle, et évidement proportionnée au “Danger” que fait courir le traitement aux personnes a qui appartiennent ces données, en cas de violation.

Les données à caractère personnel se retrouvent donc partout, dans chaque entité et tout le monde en manipule tous les jours. Il faut donc faire attention à ces données et être clairement capable de les identifier.

La Formation DPO 5J financée à 100% par le Gouvernement

Depuis quelques semaines la France est en confinement, beaucoup de salariés se retrouvent en chômage partiel. Depuis le 14 avril 2020 le gouvernement prend en charge 100% des coûts d’une Formation.
Alors pourquoi ne pas en profiter de ce contexte pour former l’un de vos collaborateurs, pour qu’il puisse aider votre entreprise à se mettre en conformité avec le RGPD ?

Effectivement notre formation DPO est éligible à cette offre, pour en profiter il faut simplement que l’entreprise ait une convention avec la DIRECCTE de sa région. Attention cette offre de financement ne concerne pas les contrats en apprentissage, ni les contrats professionnalisants.

Il y a également 2 conditions :

  • Votre entreprise doit accepter la formation de son collaborateur/salarié ;
  • Le salarié touchera 84% de sa rémunération brute durant la période de formation

Pour vous aidez, vous pouvez contacter la DIRECCTE de votre région (https://www.economie.gouv.fr/dgccrf/coordonnees-des-DIRECCTE-DIECCTE).

Vous pouvez également nous contacter pour plus d’informations sur la formation ici

Les bases légales d’un traitement de donnée

Une Mythologie Collective nous fait tous croire que pour chaque traitement de données personnelles dans une entreprise, le responsable de traitement doit obtenir le consentement a priori de la personne concernée. Cela signifierait donc que le consentement serait la base légale unique pour réaliser un traitement. Et bien ce n’est pas le cas !

Les 6 bases légales d’un traitement de données à caractère personnel

La base légale d’un traitement est : “ce qui autorise la mise en oeuvre de celui-ci”, autrement dit ce qui donne la possibilité de traiter des données à caractère personnel. Le RGPD à prévu 6 bases légales.

Sauver la vie d’une personne

La première base légale est: la sauvegarde des intérêts vitaux de la personne concernée ou d’un autre personne. Dans ce cas le consentement de la personne ne sera pas nécessaire. Il s’agit là d’un cas spécifique. On a toujours le droit de traiter des données personnelles quand il s’agit de Sauver Quelqu’un

Proposer un contrat….y compris un devis….!

La seconde base légale est le contrat, mais le traitement doit être objectivement nécessaire à l’exécution de celui-ci. Ce sera également le cas lorsqu’il existe une relation pré-contractuelle ou contractuelle entre la personne concernée et l’organisme et ce contrat devra être valide au regard du droit applicable.

L’obligation légale …mais aussi l’intérêt public

La troisième base légale est une obligation légale, c’est-à-dire lorsqu’il existe une législation nationale ou européenne imposant le traitement. Néanmoins l’obligation de nécessité est toujours nécessaire et cette obligation légale doit répondre à 4 critères : être définie par le droit européen ou national ; imposer une obligation impérative de traiter des données ; définir clairement les finalités et s’imposer au responsable de traitement.

La quatrième base légale repose sur l’intérêt public, c’est-à-dire, que le traitement est nécessaire à l’exécution à une de ces missions ou qu’il relève de l’exercice de l’autorité publique dont est investi le responsable de traitement.

L’intérêt Légitime

La cinquième base légale d’un traitement est s’il repose sur l’intérêt légitime du responsable de traitement de l’exécuter sauf dans le cas où les intérêts et libertés fondamentales de la personnes ne prévalent, par exemple pour un enfant. Nous retrouver sous cette base les traitements tels que :
– l’envoi d’information sur des produits connexes à une vente réalisée avec un client (et non pas un prospect)
– les informations de prévention envoyées par les assureurs à leurs clients
– ….

Et finalement ….LE CONSENTEMENT

Et finalement : le recueil du consentement de la personne concernée.

Cette base légale est choisie, évidemment, quand aucun des 5 autres ne s’applique.
Dans ce cas pour pouvoir réaliser un traitement de données, le responsable de traitement devra obtenir en amont l’accord de la ou des personnes concernées. Il existe différent moyen d’obtenir ce consentement :
– Un formulaire sur un site
– L’échange de cartes de visites sur un salon
– L’achat de fichiers de consentement OptIn
– ….

Le consentement n’est donc pas l’unique base légale pour réaliser un traitement de données même si c’est celui auxquels tout le monde pense aujourd’hui.
Il faut donc s’interroger sur son traitement est voir sur quelle base légale il s’appuie avant de le réaliser.

Choisir la bonne base légale est primordial pour la sécurité juridique de la société, mais aussi pour savoir comment gérer les droits ou demandes des personnes. Mais ça…c’est un autre sujet que nous aborderons plus tard.

Le rôle de la CNIL.

La Commission Nationale de l’informatique et des libertés (CNIL) est l’autorité de contrôle en France. Il s’agit d’une autorité administrative indépendante qui n’a pas pour but principal de contrôler constamment les différentes entités en France. Effectivement elle a un rôle d’accompagnement des professionnels dans leur mise en conformité au RGPD. Elle va également aider les individus à maîtriser leurs données personnelles et exercer leurs droits.

Elle a donc différentes missions :

  • Informer et conseiller : sensibilisation, proposition au gouvernement, …
  • Réguler : autorise les traitement les plus sensibles, labellise les audits et formations
  • Sanctionner : inflige des sanctions, dont financières aux responsable de traitement hors respect de la loi
  • Protéger : aide les citoyens dans l’exercice de leurs droits (saisine)
  • Contrôler : programmes annuels de contrôle, instruction de plaintes
  • Anticiper : direction des études, de l’innovation et de la prospective pour décrypter, comprendre, anticiper et évaluer les innovations et usages des TIC.

C’est une autorité administrative indépendante ce qui signifie qu’elle ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, ne peuvent s’opposer à l’action de la CNIL pour quelque motif que ce soit. Ils doivent en outre prendre toutes mesures utiles afin de faciliter ses différentes missions. Le Président de la CNIL est nommé par le président de la République mais celui-ci recrute librement ses collaborateurs.

La CNIL se réunie également en deux formations : en séance plénière ou en formation restreinte.
Les activités de la CNIL en formation restreinte sont nombreuses et elle se réunie une fois par semaine :

  • Examen de projets de loi et décrets soumis à la CNIL pour avis par le Gouvernement
  • Etude en vue d’autorisation de traitements sensibles
  • Etude de rapports sur les évolutions de l’informatique en vue d’éclairer les membres dans leur mission
  • Auditions sur son initiative ou à la demande de personnes concernée.

En formation restreinte, il n’y a que 5 membres et 1 président distinct du président de la CNIL. Cette formation se réunie au moins 1 fois par mois et à pour mission :

  • Mesures à l’encontre de RT qui ne respectent pas le règlement
  • A l’issue de contrôles ou de plaintes, elle peut prononcer diverses sanctions : avertissement, mise en demeure, sanction pécuniaire,…
  • Ces sanctions peuvent être rendues publiques.

Effectivement depuis la mise en application du RGPD le 25 mai 2018, la CNIL a vue le nombre de plainte augmenter tout comme le nombre de ses contrôles. Par exemple en 2018, la CNIL a procédé à 310 contrôles dont la majorité (204) se sont fait sur place.
Attention la CNIL ne donne pas une sanction administrative tout le temps, dans la majorité des cas elle demande à l’entité concernée de se mettre en conformité, elle réalise des mises en demeure, puis sanction par une peine pécuniaire.

Thématiques du programme annuel 2020 de contrôle de la CNIL :

  • La sécurité des données de santé
  • Mobilités et services de proximité, les nouveaux usages des données de géolocalisation : Recommandation de modes de transport, optimisation des parcours de déplacement… Attention à la proportionnalité des données, durées de conservation, infos aux PC et mesures de sécurité
  • Les cookies et traceurs, notamment mode de recueil du consentement.

La CNIL n’est donc pas une autorité administrative ayant pour seul et unique but de sanctionner la non conformité au RGPD, son rôle de conseil et d’accompagnement sont bien plus importants mais font moins parler.

D’autres articles en relation avec la CNIL : la certification de Compétences de DPO

Sous-traitance et RGPD

Un sous-traitant au sens du RGPD c’est un partenaire qui traite des données personnelles pour votre compte dans le cadre d’un service ou d’une prestation. (par exemple votre expert comptable quand il établit vos fiches de paye)

En tant que responsable de traitement, vous êtes concerné si vous choisissez de confier un traitement de ces données à ce type de prestataire.

Vous allez logiquement avoir des obligations tout comme vos sous-traitants :

  • Une obligation de transparence et de traçabilité :
    • Il faut que vous recensiez par écrit vos instructions sur le ou les traitements.
    • Dans le cas où vos sous-traitants souhaitent sous-traiter eux aussi, ils doivent obtenir votre accord avant.
    • Les sous-traitants doivent tenir un registre où ils recensent tous les traitements qu’ils réalisent pour vous.
    • Ils doivent également vous permettre d’accéder à toutes les informations nécessaires pour démontrer le respect de leurs obligations.
  • Une obligation de garantir la sécurité des données traitées.
  • Une obligation de notification dès lors qu’il y a une violation de données qui s’apparente à une obligation d’assistance, d’alerte et de conseil.

Vous devez donc mettre en place une procédure pour s’assurer que vos sous-traitants sont bien conforme au RGPD.
Il faut qu’ils justifient de la mise en place de mesures technique et organisationnelles pour sécuriser les données des traitements que vous leur avez confiés.

Il faut donc revoir vos contrat de sous-traitance en ajoutant certaines clauses. Par exemple une clause de rappel du rôle du sous-traitant, une clause sur le respect des mesures de sécurité posées par l’article 32 du RGPD, etc…

Attention : Une victime pourra aussi se retourner contre le responsable de traitement pour réparer le préjudice subi.
Vos sous-traitants peuvent voir alors leur responsabilité engagée dans le cas où ceux-ci n’auraient pas respecté le contrat ou n’auraient pas respecté le RGPD. Il faut donc faire très attention à la rédaction et à la révision de vos contrats de sous-traitance.

Vous trouverez ici un exemple de contrat de sous-traitance. Ce document n’est qu’un exemple. Il convient de l’adapter à vos besoins et de le faire valider par votre juriste interne ou votre cabinet d’avocat.

Conserver le CV d’un candidat

Pour pouvoir garder le CV d’un candidat il suffit de lui dire que l’on souhaite garder son CV et de lui permettre de s’y opposer.

Une solution simple et efficace sans être obligé d’avoir un système expert pour cela est de lui envoyer un email.

On va inclure dans cet email un lien mailto: qui lui permettra, juste en cliquant dessus de vous répondre et vous demander de réaliser:
– Une modification de ses données
– Un effacement du CV s’il ne souhaite pas que vous le conserviez

Voici un email d’exemple que vous pouvez utiliser et l’explication du lien mailto:

Madame, Monsieur (Civilité, Prénom, Nom) ;

Suite à votre candidature nous sommes au regret de vous informer que votre profil n’a pas été retenu.

  • Sachez que l’ensemble de vos données enregistrées dans notre système a été effacé afin de répondre à notre politique de protection des données et notre souci de minimisation des données détenues sur des tiers.
  • Votre profil néanmoins nous intéresse et nous souhaitons pouvoir conserver vos données durant une période qui n’excédera pas 24 mois. Si vous souhaitez vous opposer à cette conservation ou pour exercer un autre droit durant cette période veuillez cliquer sur le bouton ci-dessous.

RGPD@masociete.fr


En cliquant sur le lien ci dessus…..le destinataire de cet email va vous envoyer un email qui sera déjà pré-rempli comme ci-dessous.

Bonjour, (veuillez remplir les trois champs ci-dessous)

– nom:
– prénom:
– adresse mail:

Veuillez choisir parmi les deux options ci-dessous:

1) je ne souhaite pas que vous conserviez mes données collectées lors de ma candidature et vous en demande l’effacement

2) je souhaite obtenir la rectification de mes données :

—nouveau nom :
— nouveau numéro de téléphone :
— nouvelle adresse email :
— autre :

 

Syntaxe à utiliser pour créer le lien mailto :

mailto: rgpd-france@masociete .fr?subject=Mes%20données%20personnelles

&cc=
&bcc=

&body= Bonjour%2C%20%28veuillez%20remplir%20les%20trois%20champs%20ci-dessous%29%0A-%20nom%3A%20%0A-%20pr%C3%A9nom%3A%20%0A-%20adresse%20mail%3A%20%0A%0AVeuillez%20choisir%20parmi%20les%20deux%20options%20ci-dessous%3A%0A1%29%20je%20ne%20souhaite%20pas%20que%20vous
%20conserviez%20mes%20donn%C3%A9es%20collect%C3%A9es%20lors%20de
%20ma%20candidature%20et%20vous%20en%20demande%20l%27effacement
%0A%0A2%29%20je%20souhaite%20obtenir%20la%20rectification%20de%20mes
%20donn%C3%A9es%20%3A%0A—nouveau%20nom%20%3A%0A—%20nouveau%20num%C3%A9ro%20de%20t%C3%A9l%C3%A9phone%20%3A
%0A—%20nouvelle%20adresse%20email%20%3A%0A—%20autre%20