

Pour remplir vos obligations légales en matière de protection des données et simplifier vos démarches, découvrez 7 logiciels de conformité RGPD indispensables.
Le média de ceux qui réinventent l'entreprise
RGPD et sanctions : deux termes qui font frémir les entreprises depuis le 25 mai 2018, date d’entrée en vigueur du règlement général sur la protection des données. De portée européenne, il vise à encadrer la sécurité des données personnelles, leur confidentialité et leur traçabilité dans un environnement de plus en plus numérique. Les entrepreneurs voient leurs obligations s’accroître, inscrites très concrètement dans une loi, sous peine de sanctions administratives et pénales. Mais quelles sont-elles exactement ? Et surtout, comment les éviter ? Décryptage et solutions à suivre...
Vous connaissiez déjà la loi française relative à l’informatique, aux fichiers et aux libertés, connue sous le nom de « loi Informatique et Libertés » (loi n° 78-17 du 6 janvier 1978), réglementant la liberté de collecte, de traitement et d’utilisation des données personnelles, et définissant des obligations en termes de droit d’accès, de droit de portabilité et de droit à l’oubli.
Le RGPD est en quelque sorte une prolongation de cette loi, mise à l’échelle européenne :
Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne.
La loi Informatique et Libertés a d’ailleurs été mise à jour le 1er juin 2019 pour transposer les nouvelles régulations européennes au droit français. Cette nouvelle version est en vigueur depuis le 16 juillet 2019.
Le Comité européen de protection des données (CEPD, European Data Protection Board, en anglais) a pour mission de garantir l’application cohérente du RGPD à des fins de :
Il est composé des chefs des autorités RGPD de chaque État membre, des représentants des autorités de la Norvège, de l’Islande et du Liechtenstein (sans droit de vote), ainsi que des représentants de la Commission européenne. Ils sont présidés pour les 5 premières années par Mme Andréa Jelinek, cheffe de l’autorité autrichienne.
Chaque État Membre a donc son autorité compétente, avec les mêmes missions et pouvoirs pour une application homogène du RGPD en Europe, notamment pour les litiges transfrontaliers. En France, c’est toujours la CNIL, autorité administrative publique et indépendante.
Les autorités de protection européennes traitent actuellement en coopération 345 plaintes transfrontalières. La CNIL est concernée par 187 cas et autorité chef de file pour 15 cas. Ces plaintes soulèvent notamment des questions sur le consentement.
En cas de manquement constaté lors du contrôle d’une entreprise, la CNIL peut, via sa formation restreinte dédiée aux sanctions :
La CNIL a constitué un comité composé d’experts du public et du privé chargé d’anticiper les nouvelles tendances technologiques et leur impact potentiel sur les libertés (enjeux émergents).
Toutes les entreprises :
Elles doivent protéger « les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence ».
L’entreprise, en tant que responsable de traitements des données, doit pouvoir fournir toutes les preuves du respect de la protection des données, telles que le registre de traitement, l’analyse d’impact (en cas de gestion de données très sensibles, parfois à la demande des autorités de contrôle) et les preuves de consentements.
Prévu à l’article 30 du RGPD, ce document de recensement et d’analyse centralise vos traitements de données dans différents départements : recrutement, gestion de la paie, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients et des prospects, etc.
Y sont mentionnés :
☞ Nommer un DPO (délégué à la protection des données, aussi appelé DPO, Data Protection Officer en anglais) est obligatoire pour les organismes publics et pour ceux qui traitent des données, notamment des données sensibles, nécessitant un suivi régulier à grande échelle. Il accompagne l’organisation en pilotant la gouvernance des données personnelles, placées sous la responsabilité de l’entreprise.
Il peut être externe à l’entreprise (comme un avocat) ou interne (cette mission peut être accomplie par le Correspondant Informatique et Libertés déjà en place par exemple).
☞ Vous devez avoir le consentement des personnes dont vous recueillez les données. Idéalement, tenez aussi un registre des consentements documentant les conditions de recueil et les preuves.
Vous pouvez vous aider en répondant à ces questions :
Les personnes concernées sont :
66 % des Français se disent « plus sensibles que ces dernières années à la protection de leurs données personnelles ». Leurs inquiétudes : le vol de données, le piratage des réseaux sociaux, le spam/la prospection.
L’entreprise est tenue de garantir l’intégrité de votre patrimoine de données en réduisant les risques de pertes et de piratage. Pour cela, vous devez :
Plusieurs suites peuvent être données suivant le résultat du contrôle de la CNIL.
Si le contrôle :
La formation restreinte de la CNIL peut décider de sanctions administratives, dans l’ordre croissant :
En fonction de la durée, de la gravité et de la nature de l’infraction, l’amende administrative peut représenter :
* Entre le calcul du pourcentage et la somme, c’est le montant le plus élevé qui est retenu.
À compter de la date de notification de la décision de la CNIL, l’entreprise dispose d’un délai de deux mois pour déposer un recours devant le Conseil d’État.
Les États Membres peuvent décider d’appliquer une sanction pénale en plus de la sanction administrative, pour punir les violations non prises en compte dans l’article 83 du RGPD.
Le non-respect du bon traitement des données personnelles, même par négligence, est passible de sanctions pénales de 5 ans d’emprisonnement et de 300 000 € d’amende (articles 226 16 à 226 24 du Code Pénal).
Les personnes dont les droits ont été violés peuvent aussi porter plainte et demander réparation, via des dommages et intérêts. Cette sanction, en cas de recours en justice, s’ajoute aux sanctions administratives et pénales, le cas échéant.
Nous en avons parlé plus haut, voici un petit éclairage...
Ils traitent des transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales.
Un responsable de données n’a pas besoin de demander l’autorisation à la CNIL et ne peut pas être sanctionné en cas de transfert de données personnelles vers un pays tiers ou une organisation internationale, si les conditions de sécurité qui y sont appliquées sont satisfaisantes en regard du RGPD.
La CNIL publie d’ailleurs dans le Journal officiel de l’Union Européenne et sur son site une liste de ces pays tiers et organisations internationales validés ou blacklistés.
Si le destinataire n’est pas vérifié, le responsable du traitement ou le sous-traitant ne peut pas transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale, sauf s’il a prévu des garanties contractuelles et que les individus concernés disposent de « droits opposables et de voies de droit effectives ».
Cet article vise les conditions générales pour imposer des amendes administratives.
Pour décider de l’application d’une amende administrative et en déterminer le montant, plusieurs critères rentrent en compte :
Si le responsable de traitement, ou le sous-traitant, viole plusieurs règles du RGPD, « le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave ».
Parmi les affaires les plus notables, on peut citer :
Sur le plan juridique, un éditeur de logiciels est un sous-traitant pour le RGPD. Il traite des données personnelles pour le compte d’un client qui est, lui, désigné sous le terme de responsable du traitement.
L’éditeur propose parfois des fonctionnalités supplémentaires, via des applications tierces, pour lesquelles il convient de vérifier le respect du règlement européen. Par exemple, les technologies OCR (reconnaissance optique de caractères) proviennent parfois de solutions américaines ou russes, non soumises au RGPD. Les éditeurs français les intégrant dans leurs solutions doivent proposer un avenant de mise en conformité RGPD.
Le RGPD permet à la CNIL d’effectuer des vérifications auprès des prestataires sous-traitants, en charge de la mise en œuvre d’un traitement, pour le compte d’un organisme responsable de traitement (ex. : hébergement, maintenance).
⚠️ Les éditeurs hors zone RGPD, notamment américains, proposent parfois des « Data Processing Addendum », avenants de mise en conformité GDPR, qui ne garantissent au final aucune conformité.
Dès la conception d’un site internet, ou d’un CRM, le principe de privacy by design doit désormais être appliqué, pour répondre au besoin de protection de la vie privée à partir de la création de l’outil.
Une direction des systèmes d’information (DSI) irréprochable, un DPO désigné, des avocats consultés, toutes ces parties prenantes peuvent s’avérer incontournables de par leurs expertises en droit et en informatique.
Mais pour assurer une mise en conformité complète, sans oubli et en toute simplicité, le support d’une plateforme logicielle peut vraiment faire la différence, et vous épargner du temps et des cheveux blancs.
Une solution RGPD peut par exemple permettre :
Nous avons sélectionné pour vous plusieurs solutions qui vous aideront dans la gouvernance de vos données.
Solution à destination du DPO, Captain DPO est collaborative et permet une gestion de projet agile et fluide.
Le Data Protection Officer, interne ou externe à une structure, pilote la conformité de son organisation ou de celle de ses clients, contrôle la protection des données et documente les mesures mises en place en cas de contrôle.
L’ensemble des parties prenantes (responsable de traitement, responsable de la sécurité des systèmes d’information, etc.) est sollicité pour garantir une mise en conformité intégrale et efficace. Les sous-traitants ont aussi accès à la plateforme pour recueillir les instructions de votre entreprise et transmettre leurs propres rapports de traitement.
Parmi les fonctionnalités proposées :
Particulièrement adaptée aux PME et ETI, la volonté de Data Legal Drive est de proposer un logiciel sécurisé, intuitif et collaboratif, que vous ayez un DPO en interne, en externe, ou pas du tout.
La solution a été développée grâce à la grande expertise juridique en technologies de l’information de partenaires éditeurs et avocats. Elle a été désignée meilleure Legal Tech aux Trophées du Droit ainsi qu’aux Victoires de l’innovation juridique en 2019.
Elle aide les entreprises à accélérer leur mise en conformité d’un point de vue juridique, mais aussi organisationnel et technique. Vous centralisez vos procédures tout en ayant accès à une documentation pointue. To-do lists, alertes et états d’avancement vous offrent une ligne de conduite concrète pour remplir tous les critères légaux.
Parmi les fonctionnalités proposées :
Compliance Booster est une solution paramétrable et évolutive, qui privilégie l’automatisation pour faciliter les tâches des DPO et des responsables de traitement.
Elle permet au DPO de mener les audits RGPD comme les analyses d’impact et de sensibiliser tous les collaborateurs et les sous-traitants via des formations, notamment sur la prévention des risques internes et externes.
Quel que soit le niveau d’avancement de votre mise en conformité, l’outil vous accompagne pendant le processus et dans le maintien des bonnes pratiques par la suite.
Pensé par des responsables de la protection des données, il est préconfiguré pour 55 000 métiers, 700 secteurs et est extensible aux 10 principales réglementations mondiales quant aux protections des données.
Parmi les fonctionnalités proposées :
La mise en conformité RGPD de votre entreprise n’est pas à prendre à la légère. Elle est non seulement obligatoire, mais toute négligence peut engendrer des sanctions importantes, qui toucheront à votre porte-monnaie mais aussi à l’image de marque de votre entreprise.
Personne n’est à l’abri, l’association ADEF, gérant la mise à disposition de logements pour étudiants, familles monoparentales et migrants, a été punie de 75 000 euros d’amende deux mois après la mise en place du règlement.
Quels que soient la taille de votre structure et ses moyens, entourez-vous d’experts en la matière. Une solution de mise en conformité RGPD vous accompagnera dans l’installation et le suivi des réglementations. À vous la tranquillité d’esprit !