Le dossier juridique contient :

40 Questions essentielles

4 Modèles de lettres

2 Fiches express

4,5/5

Lire les avis

118 974 utilisateurs ont déjà consulté ce dossier

RGPD : quelles sont les obligations de mise en conformité pour les entreprises ?

Rédigé par Yoan El Hadjjam

Mis à jour le 29 novembre 2024

Lire les avis

La mise en conformité au RGPD est essentielle pour protéger les données personnelles et éviter des sanctions coûteuses. Ce dossier pratique vous accompagne pas à pas : comprendre les obligations légales, préparer votre mise en conformité et instaurer des pratiques adaptées. Assurez la protection des données dans votre entreprise et gagnez la confiance de vos partenaires et clients.... Lire la suite

18,00€ TTC

Faites votre choix parmi les 2 options suivantes :

Ce dossier seul :

18€ TTC

Ce dossier + tester notre formule CSE sans engagement !

Un juriste répond à vos questions + Accédez en illimité à tous nos documents dont celui-ci

Recommandé

Rédigé par un juriste

Prêt à l’emploi

Téléchargement immédiat

En bref

Définition : qu'est-ce que la mise en conformité au RGPD ?

Le développement de la sphère numérique génère, entre autres conséquences, une collecte et un traitement accrus des données personnelles des individus (internautes, salariés, clients d'un programme de fidélités, abonnés à divers services...).

Ces pratiques, aux multiples avantages notamment commerciaux, comportent de nombreux risques quant à la confidentialité et à la sécurité des données personnelles traitées (nom, adresse, numéro de téléphone, etc.), et de fait à la préservation de la vie privée des personnes dont les données sont traitées.

À ce titre, depuis plus de 6 ans, elles sont strictement encadrées par le Règlement général sur la protection des données personnelles (RGPD), qui est entré en vigueur dans tous les pays de l'Union européenne le 25 mai 2018, et auquel l'ensemble des entreprises privées françaises (PME comme grandes entreprises) doivent se conformer.

S'ajoute à celui-ci la loi informatique et libertés du 6 janvier 1978, dont le contenu a été entièrement réécrit à la suite de la publication du RGPD.

Notre dossier revient sur les exigences du RGPD auxquelles veiller en entreprise !

CNIL : quel est son rôle dans le respect du RGPD ? Comment évalue-t-elle votre conformité ?

La Commission nationale de l'informatique et des libertés (CNIL) est l'autorité administrative en charge de veiller à la protection des données personnelles, notamment par les entreprises (à l'égard de leurs salariés, de leurs clients, de leurs utilisateurs, etc.).

À cette fin, elle a la possibilité d'effectuer des contrôles, voire de sanctionner les entreprises ne respectant pas le RGPD et ses obligations (mise en demeure, amende administrative, etc.).

Ces contrôles peuvent se faire directement dans votre entreprise, mais également, en ligne, ou par convocation à une audition.

Le saviez-vous ? En 2023, la CNIL a prononcé 42 sanctions (à hauteur de 90 millions d'euros), 169 mises en demeure et 33 rappels aux obligations légales dans le cadre de la mise en œuvre de son action répressive !
(Source : "Sanctions et mesures correctrices : la CNIL présente le bilan 2023 de son action répressive, CNIL, publié le 16 février 2024)

Démarches : comment se mettre en conformité avec le RGPD et respecter les normes obligatoires en vigueur ?

Notre dossier répond à toutes vos questions concernant le respect et la protection des données personnelles au sein de votre entreprise, dans ses rapports internes (gestion du personnel) et externe (clients, concurrents, etc.).

Nous apportons des réponses aux questions suivantes :

Qu'est-ce qu'une donnée personnelle exactement ? De quel type de traitement parle-t-on ? Quelles sont les obligations des entreprises à l'égard du RGPD pour sécuriser le traitement des données personnelles collectées ? Qu'est-ce qu'un registre de traitement de données et dans quels cas sa constitution est-elle obligatoire ? Quand devez-vous réaliser une analyse d'impact ? À qui doivent être communiquées les coordonnées du responsable de traitement ? Quelle est la durée de conservation des données traitées ? Quels documents devez-vous fournir à la CNIL en cas de contrôle ? Que devez-vous faire en cas de violation de données personnelles ? Comment traiter des cas d'incidents ? Quelles sanctions (courrier de mise en demeure, amende, avertissement, etc.) risquez-vous en cas de non-respect des dispositions applicables de la part de la CNIL ?

Dans quels cas utiliser ce dossier ?

Afin d'être en règle en cas de contrôle de la CNIL, et pour éviter toute sanction ou action contre vous, vous devez porter une attention particulière à vos potentielles obligations en matière de données personnelles.

Si votre entreprise traite des données personnelles (notamment de ses clients, de ses salariés, de ses fournisseurs, etc.), sa mise en conformité au RGPD et aux textes nationaux applicables est obligatoire, et doit à ce titre respecter plusieurs démarches.

Celles-ci ont trait à la sécurisation des données personnelles traitées, mais également aux droits et libertés des personnes dont les données sont collectées (recueil de leur consentement explicite, durée de conservation des données, droit d'accès à leurs données, droit à la portabilité et à l'effacement de celles-ci, etc.).

En tant que chef d'entreprise et employeur, vous êtes responsable du traitement des données personnelles effectué par votre entreprise, et il vous appartient (à vous et à vous seul) d'assurer la mise en conformité de celle-ci à la réglementation applicable (avec l'aide éventuelle d'un délégué à la protection des données (DPD ou DPO)).

Pour cela, il convient de réaliser un réel état des lieux de la situation, de manière à mettre en place les mesures de sécurité qui s'imposent (processus interne, tenue des registres imposés par la réglementation, définition des modalités d'obtention du consentement explicite des internautes dont les données sont collectées si celui-ci s'impose, sécurisation des activités de traitement, verrouillage des données recueillies par le biais de votre site internet, cryptage des documents à risque, détermination de la durée de conservation des données traitées, réalisation d'analyses d'impact, etc.).

Au-delà de simples mesures ponctuelles, vous devez assurer la conformité dans le temps de votre entreprise aux textes et lois applicables, ce qui nécessite une actualisation de vos connaissances.

Contenu du dossier :

Ce dossier vous permet de déterminer les démarches à accomplir pour assurer la conformité de votre entreprise au RGPD et à la loi informatique et libertés. Il vous renseigne sur les obligations posées par la réglementation à l'égard des entreprises, et sur les mesures à prendre pour les respecter afin d'éviter une sanction de la part de la CNIL.

Vous trouverez dans ce dossier, une vue d'ensemble sur :

le RGPD ;
les données personnelles ;
les entreprises concernées par le respect de la réglementation ;
le registre de traitement de données ;
la sécurisation des données personnelles traitées ;
les sanctions ;
votre obligation d'information à l'égard de vos clients et de vos salariés dans le cas d'un traitement de leurs données personnelles ;
le délégué à la protection des données (DPD ou DPO), notamment les situations dans lesquelles il doit être désigné, les conditions de sa nomination et ses missions ;
les droits des personnes dont les données sont collectées (notamment le droit d'accès, de rectification et d'effacement des données).

Des modèles de lettres à télécharger et à compléter vous accompagne dans vos démarches.

Ce dossier juridique dédié contient :

40 Questions essentielles

I- Être en conformité avec le Règlement Général sur la Protection des Données (RGPD)
À quelle date est entré en application le RGPD ?
Qu'est-ce que le règlement général sur la protection des données (RGPD) ?
Que signifie l'expression "données personnelles" ?
Qu'est-ce que le "traitement" de données personnelles ? De quoi s'agit-il par exemple ?
Qui est concerné par la mise en place du RGPD ?
Quels sont les grands principes du RGPD que votre entreprise doit respecter ?
Qui est responsable de la mise en conformité au RGPD dans une entreprise ?
Est il toujours nécessaire de faire une déclaration préalable à la CNIL ?
Est-il obligatoire de constituer un registre de traitement de données en entreprise ?
Quels sont les fichiers qui sont soumis à la législation relative à la protection des données personnelles ?
La collecte de données auprès de personnes mineures est-elle possible ?
Faut-il informer la personne de ses droits en matière de données personnelles (clients, salariés, etc.) ?
Dois-je toujours signaler les violations de données personnelles à la CNIL ?
Quels sont les risques en cas de non-conformité au RGPD (sanctions, etc.) ?
En plus des données de nos clients, doit-on sécuriser les données personnelles de nos salariés ?
Pendant combien de temps puis-je conserver les données personnelles ?
Est-il obligatoire de nommer un Délégué à la Protection des Données (DPD ou DPO) ?
Comment désigner le délégué à la protection des données (DPD ou DPO) au sein de mon entreprise ?
Quelles sont les missions du Délégué à la protection des données (DPD ou DPO) ?
Le délégué à la protection des données (DPD) est-il un salarié protégé ?
Comment se passe un contrôle de la CNIL ?
II- Comment assurer une bonne protection des données personnelles ?
Un client me demande l’accès à ses données personnelles, sous quel délai dois-je lui répondre ?
Je sous-traite une partie de mon activité : qu’en est-il des obligations du sous-traitant pour le RGPD ?
Comment sécuriser les données au sein de mon entreprise ?
Qu’est-ce que le profilage en termes de données personnelles ? Ai-je le droit de recourir au profilage dans le cadre de mon activité ?
Comment est-il possible d'obtenir le consentement explicite des personnes sur le recueil de leurs données personnelles ?
Il m'est demandé l’application du droit à l’oubli. Dois-je faire droit à cette demande ?
Dois-je adapter mes pratiques en effectuant une étude d’impact ?
La situation de mon entreprise a changé. Quand et comment modifier ma déclaration à la CNIL ?
Suis-je tenu de mettre à jour les données dont je dispose ?
Puis-je conserver les numéros de carte de crédit de mes cyberclients ?
Puis je céder, louer ou encore mettre à disposition les données personnelles collectées grâce à mon site marchand ?
J'ai une boutique sur internet, quels sont les risques en cas d'un piratage des données personnelles de mes clients ?
À la suite d'un problème technique, toutes les données confidentielles de mes clients ont été rendues publiques. Que faire pour me protéger des réclamations ?
J'ai une boutique sur Internet, que dois-je faire pour la sécurisation des paiements de mes clients ?
Un de mes clients a été victime d’une usurpation d’identité numérique, suis-je responsable ?
Puis-je être tenu responsable en cas de violation de données personnelles suite à une cyber-attaque ?
Puis-je exercer une action en concurrence déloyale contre un concurrent violant le RGPD ?

4 Modèles de lettres

Lettre de demande d'autorisation d’utilisation de certaines données personnelles aux salariés
Informer les clients dont les données personnelles ont été rendues publiques
Lettre de réponse à une demande d’accès aux données personnelles
Lettre informant de la prolongation du délai de réponse à une demande d’accès aux données personnelles

2 Fiches express

Désigner un délégué à la protection des données (DPD)
Cyber commerçants : quelles obligations avez-vous lorsque vous traitez les données personnelles de vos clients ?

Les notions clés abordées dans ce dossier juridique :

RGPD

Loi Informatique et Libertés

Données personnelles

Traitement de données

Droit à l'oubli (à l'effacement)

Délégué à la Protection des Données (DPD)

Data Protection Officer (DPO)

CNIL

Risques et sanctions

Contrôle

Données sensibles

Droit d'accès

Principe de minimisation

Collecte

Droit de rectification

E-commerce

Sécurité

Fuite de données

La question du moment

Pendant combien de temps puis-je conserver les données personnelles ?

La conservation des données de vos clients et partenaires est un élément stratégique de votre entreprise.

Toutefois, depuis l'instauration du Règlement Général sur la Protection des données (RGPD), les principes de conservation de données ont changé.

S'il est vrai qu'il n'existe pas de délai limitant la conservation des données personnelles de vos clients, cela ne signifie pas que ces données doivent être conservées indéfiniment au sein de vos serveurs.

En effet, la durée de conservation doit être définie par le responsable de traitement en accord avec son délégué à la protection des données (DPD) en fonction de la finalité du traitement, sauf si un texte impose une durée précise.

Exemples :

la durée de conservation ne doit pas excéder 1 mois maximum pour les enregistrements de vidéosurveillance (1) ;
concernant le recrutement, il est possible de garder certaines informations des candidats non retenus afin de se créer un "vivier de candidats" pour des recrutements futurs. Sur ce point, la CNIL recommande dans un premier temps d'obtenir l'autorisation du candidat à la conservation temporaire de ses données, et, dans un second temps, de ne conserver ces données que dans un délai maximal de 2 ans (hors stipulations légales contraires en fonction des secteurs) (2) ;
le double des bulletins de paie remis aux salariés sont conservés pendant 5 ans (3) ;
etc.

À défaut de précisions, la durée va dépendre de la nature des données utilisées et des objectifs recherchés. Elles doivent donc être supprimées lorsque le motif justifiant leur archivage n'a plus raison d'être (3).

L'employeur ne doit pas supprimer tous les documents rapidement, pour la seule raison qu'ils contiendraient des données personnelles. En effet, pour l'exemple du bulletin de paie, l'employeur qui ne conserverait pas ces documents pendant 5 ans enfreint son obligation et peut être sanctionné en cas de contrôle de l'inspection du travail. L'employeur doit donc être vigilant et jongler entre ses obligations et la limitation de conservation des données personnelles.

Pour vous aider à définir ces durées, vous pouvez vous appuyer sur les dispositions légales ou règlementaires applicables, ou encore sur les délibérations de la CNIL. À toutes fins utiles, sachez que la CNIL a mis en ligne un guide pratique relatif aux durées de conservation des données personnelles.

Retenez que plus l'utilisation des données est importante et prolongée, plus vous serez en droit de les conserver. Cependant, si aucune raison ne justifie leur détention, vous ne serez plus en droit de les archiver indéfiniment.

En cas de procédure de suppression sous contrainte ou demande, vous devrez vous assurer que les données sont effectivement supprimées.

Bon à savoir : notez que les règles prévues par le RGPD doivent être articulées avec le régime spécifique des archives publiques (qui s'entendent comme l'ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité), dont la teneur est définie par le Code du patrimoine (4). Cela concerne notamment les structures publiques et les structures privées chargées d'une mission de service public.

Le mot de l'auteur

La mise à jour du 29 novembre 2024 concerne :

La Cour de Justice de l'Union européenne (CJUE) a récemment précisé qu'un concurrent pouvait former un recours pour concurrence déloyale envers une entreprise qui ne respectait pas les dispositions du RGPD (CJUE, 4 octobre 2024, aff. C-21/23). Plus de détails au sein de ce dossier !

La mise à jour du 13 mars 2024 concerne :

Le RGPD vous apparaît comme une machine complexe ? Notre dossier détaille point par point ce mastodonte de réglementation. Faites le point sur votre conformité facilement.

La mise à jour du 22 juin 2023 concerne :

Le respect du RGPD requiert le respect de diverses obligations dont vous devez connaître la nature exacte. Recueil du consentement, durée de conservation, obligation d'information, gestion des incidents techniques ou malveillants... Suivez le guide !

Yoan El Hadjjam Juriste rédacteur web