RGPD

Avocat RGPD

Le cabinet Sarah GARCIA Avocat met à disposition
ses compétences pour vous accompagner

Mise en conformité RGPD
Externalisation du DPO
Accompagnement, Assistance et Conseil
Avocat RGPD

Audit de conformité RGPD

L’audit et la conformité au Règlement Général sur la Protection des Données (RGPD) sont des processus essentiels pour garantir que les organisations respectent les normes de protection des données personnelles. 

Le cabinet Sarah GARCIA Avocat met à disposition ses compétences pour vous accompagner dans le cadre d’un audit de conformité.

L’audit de conformité RGPD permet de vérifier que l’organisation respecte les principes Généraux du RGPD :

Ordinateur pour représenter un des domaines d'expertises notamment le droit du numérique
  • Licéité, Loyauté et Transparence : Les données doivent être traitées de manière licite, loyale et transparente vis-à-vis des personnes concernées 
  • art. 5, § 1 : « Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) »

  • Limitation des Finalités : Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
  • Minimisation des Données : Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
  • Exactitude : Les données doivent être exactes et, si nécessaire, tenues à jour.
  • Limitation de la Conservation : Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (« conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées…
  • Intégrité et Confidentialité : Les données doivent être traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle (« traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle… »

 

En quoi consiste le Processus d’Audit ?

L’audit RGPD permet d’évaluer la conformité d’une organisation (entreprises, sociétés ou associations) aux exigences du RGPD. Il comprend plusieurs étapes clés :

 

  1. Évaluation du Niveau de Conformité : L’audit commence par une évaluation du niveau de conformité de l’organisation aux exigences du RGPD. Cela inclut la vérification des mesures de sécurité et des politiques internes mises en place pour protéger les données personnelles 
  2. Vérification des Mesures de Sécurité : Le cabinet examine les mesures de sécurité mises en œuvre pour protéger les données collectées, en s’assurant qu’elles sont proportionnées au degré de sensibilité des données traitées.
  3. Documentation de la Conformité : La documentation de la conformité en RGPD est un ensemble de documents qui prouvent que l’organisation respecte le Règlement Général sur la Protection des Données (RGPD). C’est une obligation légale pour toutes les organisations qui traitent des données personnelles de citoyens européens. La documentation de la conformité peut prendre différentes formes (papier, numérique, etc.) et doit être adaptée à la taille et à l’activité de votre organisation. Voici les éléments clés qu’elle doit généralement inclure : Registre des activités de traitement, Politiques et procédures internes, les analyses d’impact, les contrats avec les sous-traitants …Il est essentiel de documenter la conformité, notamment en tenant des registres de traitement à jour et en s’assurant que les transferts de données à des tiers sont encadrés contractuellement.
  4. Analyse des Risques : L’audit inclut une analyse des risques liés à la non-conformité, permettant d’identifier les domaines nécessitant des améliorations.
  5. Recommandations et Plan d’Actions : À la suite de l’audit, des recommandations sont formulées pour améliorer la conformité, accompagnées d’un plan d’actions détaillé pour leur mise en œuvre.

 

Mise en conformité RGPD : Notre approche pratique

La mise en conformité RGPD est une démarche progressive qui s’inscrit dans la durée.

La Cnil (Commission nationale de l’informatique et des libertés) conseille six étapes pour se conformer à cette obligation :

 

  1. Désigner un pilote, chargé de la gouvernance des données personnelles détenues par la structure, qui exercera les missions d’information, de conseil et de contrôle de la protection des données ;
  2. Cartographier les traitements de données personnelles, en recensant de façon précise tous les traitements intervenant sur ces données ;
  3. Prioriser les actions à mener pour se conformer aux obligations actuelles et à venir ;
  4. Gérer les risques en menant pour chaque traitement une étude d’impact sur le traitement des données ;
  5. Organiser les processus internes pour garantir la meilleure protection des données personnelles ;
  6. Documenter la conformité.

Notre approche de mise en conformité priorise 11 étapes pour un accompagnement global et  progressif et qui emporte l’adhésion de tous au sein de la structure.

Les étapes sont les suivantes :

 

1.Entretien préalable avec le responsable de traitement 

Avant de démarrer la mise en conformité, le cabinet va avoir un entretien approfondi avec le responsable de traitement (qui peut être le chef d’entreprise, le directeur d’une association, etc.).

Cet entretien permettra de : 

 

  • Comprendre les enjeux et les objectifs du responsable de traitement en matière de protection des données.
  • Déterminer le périmètre de la mission et les ressources disponibles.
  • Sensibiliser le responsable de traitement à l’importance du RGPD et à son rôle dans la mise en conformité.
  • Poser les bases d’une collaboration efficace pour la mise en œuvre du projet.

 

 

2. Désigner un Délégué à la Protection des Données (DPO) 

Cette étape est essentielle dans la mise en conformité. Dans le cadre de ce processus de conformité, la Société devra nommer une personne responsable de la conformité RGPD au sein de l’organisme.

Le DPO sera le point de contact pour les questions relatives à la protection des données. Le cabinet peut également intervenir en tant que DPO externe.


 

3. Cartographier les traitements de données 

La CNIL recommande de cartographier les traitements des données. 

Cette cartographie a pour but de :

  •  Identifier tous les traitements de données personnelles effectués par l’organisme.
  • Déterminer les types de données collectées, les finalités de ces traitements, les personnes concernées, les destinataires des données, etc.

 

Le but de cette cartographie est de permettre d’avoir une vue d’ensemble des traitements et de leurs risques.

Par exemple, dans le cadre d’une association qui propose des prestations de sport, la cartographie des risques pourra être comme suit :

 

Traitement de donnéesType de donnéesRisqueProbabilitéImpactMesures de mitigation
Gestion des adhérents
Données de santé (certificat médical, allergies)		Divulgation non autorisée des données de santé (par ex., perte d’un formulaire, accès non autorisé à la base de données).MoyenneFortChiffrement des données, accès restreint aux personnes autorisées, procédure de gestion des incidents de sécurité, formation du personnel sur la confidentialité des données.
Organisation de compétitions et événementsPhotos/vidéos des participantsPublication de photos/vidéos sans le consentement des personnes concernées, utilisation abusive des images.MoyenneMoyenObtention du consentement explicite pour l’utilisation des images (formulaire d’inscription, mention sur les supports de communication), information claire sur l’utilisation des images, droit d’opposition et de retrait du consentement.
Gestion des bénévoles et employésCoordonnées bancairesVol ou utilisation frauduleuse des coordonnées bancaires, erreurs de virement.FaibleFortChiffrement des données bancaires, accès restreint aux personnes autorisées, double authentification, audit régulier des systèmes de paiement.
Utilisation du site web et des réseaux sociauxDonnées de navigation (cookies)Collecte excessive de données, utilisation des données à des fins non consenties (par ex., publicité ciblée sans consentement)MoyenneMoyenPolitique de cookies claire et accessible, recueil du consentement pour les cookies non essentiels, information sur les finalités de la collecte, respect des règles relatives à la publicité ciblée.

 

4. Analyser les risques 

Complémentaire de la cartographie, l’analyse des risques permet de :

  • Évaluer les risques liés à chaque traitement de données.
  • Identifier les risques de violation de données, de perte de confidentialité, d’atteinte aux droits des personnes concernées, etc.
  • Prioriser les actions de mise en conformité en fonction des risques identifiés.

 

5. Mettre en place des mesures de sécurité 

Le cabinet préconise les mesures à mettre en place.

Ces mesures consistent généralement à :

  • Mettre en œuvre des mesures techniques et organisationnelles pour protéger les données personnelles.
  • Contrôler les accès aux données, mettre en place des sauvegardes, chiffrer les données sensibles, etc.
  • Sensibiliser le personnel aux bonnes pratiques en matière de sécurité des données.

 

6. Documenter la conformité 

La documentation de la conformité permet de faire la preuve du respect des règles RGPD.

Documenter sa conformité, c’est :

  • Tenir un registre des traitements de données.
  • Documenter les analyses de risques, les mesures de sécurité mises en place, les procédures internes, etc.

Ainsi, cette documentation permettra de démontrer la conformité de l’organisme en cas de contrôle par la CNIL.

Le cabinet Sarah GARCIA Avocat vous accompagne en vous conseillant et en tant que DPO externe, en mettant en œuvre toutes les diligences pour l’établissement de ces registres.

 

7. Gérer les droits des personnes concernées 

Le cabinet Sarah GARCIA Avocat accompagne également ses clients dans le cadre de la gestion des droits des personnes concernées.

Il s’agit notamment de mettre en place des procédures pour répondre aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, opposition, etc.).

Cela inclus également d’informer les personnes concernées de leurs droits et des modalités d’exercice de ces droits.

 

8. Gérer les violations de données :

On parle de violation de données lorsqu’il y a une atteinte à la sécurité des données personnelles, qu’elle soit accidentelle ou illicite, et qui entraîne :

  • La destruction : perte définitive des données (ex : suppression accidentelle, incendie).
  • La perte : indisponibilité temporaire ou permanente des données (ex : perte d’un support de stockage, vol d’ordinateur portable).
  • L’altération : modification non autorisée des données (ex : modification frauduleuse d’informations dans une base de données, virus informatique).
  • La divulgation non autorisée : accès non autorisé aux données par des personnes non habilitées (ex : piratage informatique, erreur d’envoi d’un courriel contenant des données confidentielles).
  • L’accès non autorisé : consultation de données par une personne qui n’y a pas droit, même sans qu’il y ait eu de modification ou de divulgation ultérieure.

En résumé, une violation de données est un incident de sécurité qui compromet la confidentialité, l’intégrité ou la disponibilité des données personnelles.

Une violation des données peut intervenir dans les cas suivants :

  • Piratage informatique : Un pirate accède à une base de données contenant les informations des membres d’une association et les copie ou les divulgue en ligne.
  • Vol d’un ordinateur portable contenant des données non chiffrées : Un employé se fait voler son ordinateur portable contenant des fichiers clients non protégés par un mot de passe ou un chiffrement.
  • Envoi d’un email à la mauvaise personne : Un email contenant une liste d’adresses email de clients est envoyé par erreur à un destinataire extérieur à l’entreprise.
  • Publication involontaire de données sur internet : Un document contenant des données personnelles est publié par erreur sur un site web accessible au public.
  • Erreur humaine entraînant la suppression de données : Un employé supprime accidentellement des fichiers contenant des données clients sans sauvegarde.
  • Intrusion physique dans des locaux et consultation de documents confidentiels : Une personne non autorisée pénètre dans les locaux d’une entreprise et consulte des dossiers contenant des informations personnelles.
  • Défaut de sécurité dans un logiciel ou une application : Une vulnérabilité logicielle permet à des personnes malveillantes d’accéder à des données personnelles.

Dans ces cas, selon la gravité de l’atteinte, des procédures de gestion des violations de données sont mises en place. Il s’agit notamment de :

  • Notifier les violations de données à l’autorité de contrôle compétente et, le cas échéant, aux personnes concernées.
  • Mettre en place des mesures correctives pour éviter que de telles violations ne se reproduisent.

 

9. Former le personnel 

La formation et la sensibilisation dans la conduite d’un projet de conformité est très importante.

Le cabinet Sarah GARCIA Avocat peut assurer ces formations ou concevoir des supports spécifiques à l’organisation pour sensibiliser les collaborateurs.

Il s’agit donc de :

  • Sensibiliser le personnel aux enjeux de la protection des données personnelles.
  • Former le personnel aux règles du RGPD et aux bonnes pratiques en matière de traitement des données.

Cette formation permettra de responsabiliser le personnel et de prévenir les erreurs.

 

10. Intégrer la protection des données dès la conception (Privacy by design ou Privacy by default)

L’article 25 du règlement relatif à la protection des données personnelles encouragent les entreprises et les organisations à mettre en œuvre des mesures techniques et organisationnelles dès les premières étapes de la conception des opérations de traitement, de manière à préserver dès le départ la vie privée et les principes en matière de protection des données (« protection des données dès la conception »). 

Par défaut, les entreprises et les organisations doivent s’assurer que les données à caractère personnel sont traitées selon le niveau le plus élevé de protection de la vie privée (par exemple, seules les  données nécessaires devraient être traitées, une durée de conservation brève et une accessibilité limitée) afin que, par défaut, les données à caractère personnel ne soient pas rendues accessibles à un nombre indéterminé de personnes (« protection des données par défaut»).

La commission européenne fait ainsi des préconisations.

Protection des données dès la conception

Le recours à la pseudonymisation (remplacement des informations permettant d’identifier une personne par des identifiants factices) et au chiffrement (cryptage de messages afin que seules les personnes autorisées puissent les lire).

Protection des données par défaut

Comme mentionnée sur le site de la commission européenne, une plateforme de réseau social devrait être encouragée à modifier les paramètres du profil des utilisateurs pour le rendre le plus confidentiel possible, par exemple en limitant dès le départ l’accessibilité du profil des utilisateurs afin qu’il ne soit pas accessible par défaut à un nombre indéterminé de personnes.

 

11. Maintenir la conformité 

Une fois que les risques sont identifiés et qu’une cartographie a été établie, il importe de mettre en place les mesures suivantes :

  • Mettre en place un système de suivi et de contrôle de la conformité.
  • Mettre à jour les mesures de sécurité et les procédures en fonction des évolutions du RGPD et des risques.
  • Réaliser des audits réguliers pour vérifier l’efficacité du dispositif de conformité.

N’ATTENDEZ PLUS

Contactez nous !

(+33) 6 99 57 47 50

Retour en haut