Embed Size (px)
Citation preview
GESTION DES DONNÉES PERSONNELLES
Les nouvelles obligations qui s’imposent aux
cabinets
Gestion des données personnelles ?
• Pourquoi traiter aujourd’hui de ce sujet ?
oQuelles sont les nouveautés ?
• Un règlement européen complète les obligations
existantes relatives à la gestion des données
personnelles
o La gestion des données personnelles s’impose aux entreprises
clientes depuis plusieurs années … mais aussi aux experts-
comptables !
• Nous allons faire ensemble un tour d’horizon des obligations et vous
donner des conseils pratiques pour être prêts !
2
POUR BIEN COMMENCER !
Que diriez-vous d’un petit quiz pour tester
vos connaissances ?
Jouons un peu
• Quel est le nom du nouveau texte de loi
européen sur la protection des données ?
o Le Règlement général sur la protection des
données
o La Directive européenne de régulation de l’usage
des données
o Le Règlement de régulation de la protection des
données
Jouons un peu
• Quelle est la date d’application du
Règlement ?
o Le 1er mars 2018
o Le 25 mai 2018
o Le 1er janvier 2019
Jouons un peu
• Quelle est l’autorité française compétente en
matière de protection des données
personnelles ?
o La CNIL
o La CEPD
o Le Conseil d’Etat
Jouons un peu
• Quel est le nom de la loi de 1978 qui traitait
des données personnelles en France ?
o La loi relative à l’informatique, aux fichiers et aux
libertés
o La loi sur le respect des données personnelles
o Le Code de l’informatique et des données
personnelles
Jouons un peu
• Quelle est la bonne définition de la donnée
personnelle parmi les suivantes ?
o Toute information se rapportant à une personne
physique et morale identifiée et identifiable
o Toute information se rapportant à une personne
physique identifiée
o Toute information se rapportant à une personne
physique identifiée et identifiable
Jouons un peu
• Parmi les données ci-dessous quelles sont
celles qui sont des données à caractère
personnel ?
o Photo
o Adresse mail
o Code postal
oMatricule
Jouons un peu
• En quoi consiste un traitement de données
personnelles ?
o Collecte de données personnelles
o Enregistrement de données personnelles
o Consultation de données personnelles
o Toute opération portant sur des données
personnelles, quel que soit le procédé utilisé
Jouons un peu
• Une intrusion (vol, suppression, hacking,
phishing, etc.) dans les fichiers de votre cabinet
contenant des données personnelles a eu lieu,
dans quel délai devez-vous informer la CNIL ?
o Dans les meilleurs délais
o Au plus tard 48 heures après constatation de
l’intrusion
o Au plus tard 72 heures après constatation de
l’intrusion
Jouons un peu
• Combien de temps peut-on conserver les
données personnelles ?
o Aussi longtemps que souhaité
o Tant que le contrat avec ces personnes est en cours
o Au-delà de la durée du contrat tant que des
contentieux peuvent être engagés
Jouons un peu
• Quelles sont les sanctions en cas de non
respect du règlement ?
o Un avertissement
o Une amende administrative de 4% du chiffre
d’affaires au maximum
o Une mauvaise réputation
Jouons un peu !
• Les réponses aux questions !
14
Jouons un peu
• Quel est le nom du nouveau texte de loi européen sur la
protection des données ?
o Le Règlement général sur la protection des données RGPD
• Il instaure un cadre commun de protection des données à l’échelle
européenne
– Contrairement à une directive, il est directement applicable dans tous les Etats
membres
• Champ d’application étendu
– Si le responsable du traitement des données personnelles (RT) ou le sous-
traitant (ST) est établi sur le territoire de l’Union européenne ou qu’ils
mettent en œuvre des traitements de données visant à fournir des biens et des
services aux résidents européens ou à les « cibler »
Les points à avoir en tête
• Objectifs du règlement européen
o Renforcer les droits des individus par rapport aux législations existantes• Information claire, intelligible et aisément accessible sur le traitement des
données
• Nécessité de donner un consentement ou de pouvoir s’opposer au traitement de ses données personnelles
• Charge de la preuve du consentement qui repose sur le responsable du traitement
• Droit à la portabilité et à la limitation des données personnelles
• Possibilité de recours collectifs, droit à réparation des dommages matériel ou moral
o Responsabiliser les entreprises• Allégement des formalités préalables (déclarations et autorisations) vs
responsabilisation des entreprises – Tenue d’un registre des traitements dans certains cas, notification des failles de sécurité,
délégué à la protection des données – DPO, études d’impact sur la vie privée
Les points à avoir en tête
• Renforcement des obligations des intervenants dans le traitement de donnéeso Renforcement des obligations des sous-traitants
• Pour mémoire o Responsable de traitement RT
• La personne, l'autorité publique, la société ou l'organisme qui décide de la création du traitement et détermine les finalités et les moyens de celui-ci
o Sous-traitant ST• la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui
traite des données à caractère personnel pour le compte du responsable du traitement
• Il ne traite ces données que sur instructions du responsable de traitement, à moins que cela ne soit requis par la législation de l’Union ou des États membres
• Il n’utilise pas les données pour son propre compte
o A noter que le RGPD consacre également la notion de responsable conjoint de traitement
17
Jouons un peu
• Quelle est la date d’application du Règlement ?
o Le 25 mai 2018 dans tous les pays de l’Union européenne !
• Les fichiers déjà mis en œuvre à cette date devront d’ici là être mis
en conformité avec les dispositions du règlement
– Il est donc nécessaire de vous préparer dès maintenant !!!
Jouons un peu
• Quelle est l’autorité française compétente en matière
de protection des données personnelles ?
o La CNIL !
• Elle est compétente pour traiter de la gestion des données
personnelles par une entreprise dont l’établissement principal est en
France
– Le recours contre les décisions de la CNIL se fait devant le Conseil d’Etat
– Le CEPD est le comité européen de la protection des données qui regroupe
l’ensemble des autorités nationales compétentes en matière de données
personnelles
Jouons un peu
• Quelle est le nom de la loi de 1978 qui traite des données
personnelles en France ?
o La loi relative à l’informatique, aux fichiers et aux libertés
• Les principes décrétés en 1978 ont longtemps été une référence
• Mais avec le développement des nouvelles technologies (big data,
Internet des objets etc.) d’autres textes ont été adoptés pour
compléter la loi de 1978, notamment
– Loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des
traitements de données à caractère personnel
– Loi du 7 octobre 2016 pour une République numérique
20
Jouons un peu
• Quelle est la bonne définition de la donnée
personnelle parmi les suivantes ?
o Toute information se rapportant à une personne physique
identifiée et identifiable
• Les personnes morales ne sont pas concernée
– Application du règlement subordonnée à la possibilité d’identifier la
personne !
– Pas d’application du règlement aux données anonymes qu’elles le soient
initialement ou qu’elles aient fait l’objet d’une anonymisation
21
Jouons un peu
• Parmi les données ci-dessous, quelles sont celles qui sont des données à caractère personnel ?
o Toutes !• Une personne physique identifiable est une personne physique qui
peut être identifiée, directement ou indirectement, par référence à un identifiant, tel qu’un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale– Exemples : nom et prénom, adresse IP de l’ordinateur, numéro de téléphone,
adresse mail, photographie, voix, données de géolocalisation, plaque minéralogique d’un véhicule ou éléments conjugués ensemble permettant d’identifier la personne comme lieu de résidence, profession, âge, genre etc.
Jouons un peu
• En quoi consiste un traitement de données personnelles ?o Il s’agit de toute opération portant sur ces données, quel que soit le
procédé utilisé
• Collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction
• Attention ! le RGPD s’applique au traitement – automatisé ou non – des données à caractère personnel
Jouons un peu
• Une intrusion (vol, suppression, hacking, phishing, etc.) dans les fichiers de votre cabinet contenant des données personnelles a eu lieu, dans quel délai devez-vous informer la CNIL ? o Dans les meilleurs délais et au plus tard 72 heures après
constatation de la violation sauf si l’entreprise démontre qu’il est peu probable que la violation engendre un risque pour les droits et libertés des personnes physiques
o Si le délai de 72 heures est dépassé, la notification devra être complétée des motifs du retard
o D’autres informations complémentaires pourront être transmises au fil de l’eau• Attention si vous êtes sous-traitant, le délai pour avertir le
responsable de traitement est nécessairement plus court !
24
Jouons un peu
• A noter !
o En plus de la CNIL, les personnes physiques concernées
doivent être informées
• Si la violation est susceptible d’engendrer un risque élevé pour les
droits et libertés des personnes concernées
– Communication dans les meilleurs délais en utilisant un langage clair et simple
» Compte tenu des données détenues par les cabinets, ce risque élevé
n’existe que rarement
25
Jouons un peu
• Combien de temps peut-on conserver les données
personnelles ?
o Au-delà de la durée du contrat en respectant les durées légales
ou en anonymisant les données, une fois la durée dépassée
• La durée de conservation est fixée en fonction de l'utilité de la donnée
au regard du but poursuivi par le traitement
• La conservation au-delà de la durée du contrat est possible dès lors
qu’elle n’excède pas les durées de la rétention légale
– Conservation possible pendant la période de mise en cause de la responsabilité
civile professionnelle par exemple
• Suppression ensuite des données à caractère personnel ou
anonymisation
26
Jouons un peu
• Attention l’anonymisation requiert des techniques
informatiques spécifiques
o Il ne s’agit pas uniquement de supprimer le nom ou le prénom
pour rendre les données anonymes !
27
Jouons un peu
• Quelles sont les sanctions en cas de non respect du règlement ?
o En cas de violation mineure un avertissement
o En cas de violation grave, une amende administrative prenant en compte la nature, la gravité, la durée de la violation ainsi que le caractère intentionnel mais également les circonstances atténuantes• Selon la catégorie de l’infraction, 10 ou 20 millions d’euros, ou, dans le cas
d’une entreprise, 2% à 4% du chiffre d'affaires annuel mondial (le plus élevé des deux)
o Aux sanctions s’ajoute le risque de détériorer son image auprès des clients et le risque d’un recours collectif
• Pouvoir de sanction de la CNIL avant le RGPD
o 3 millions € maximum depuis la loi pour une République numérique
28
LES POINTS À AVOIR EN TÊTE
Rappel !
• La protection des données personnelles n’est pas une
nouveauté issue du Règlement européen puisque une
législation existe en France depuis 1978 !
o Les experts-comptables doivent depuis longtemps faire des
déclarations à la CNIL et respecter les règles de protection
des données personnelles dans leur activité quotidienne
• Combien d’entre vous ont fait des déclarations à la CNIL ?
30
Les points à avoir en tête
• Que devient la Loi Informatique et Libertés avec le nouveau règlement européen ?o Le règlement européen comporte une liste de sujets sur lesquels les
états membres pourront prévoir des dérogations ou des précisions• Un projet de loi a été déposé à l’Assemblée nationale pour modifier la loi
« informatique et libertés » de 1978– Il révise l’organisation et le fonctionnement de la CNIL pour adaptation au règlement
européen
– Il instaure des spécificités nationales
» Pour les données sensibles (données biométriques, de santé, sur l'origine ou les appartenances politiques, religieuses, la santé et la vie sexuelle)
» Pour les traitements répondant à des missions d'intérêt public (par exemple pour la protection sociale ou la santé publique)
» Pour les situations particulières de traitement (numéro de sécurité sociale, relations de travail)
Les points à avoir en tête
• L’importance réaffirmée du consentement
o Accord nécessaire de la personne physique avant que le RT ne mette en place le traitement• Le consentement doit être recueilli sur la base d’une explication
claire– Le consentement doit être donné pour un traitement spécifique et ne vaut que
pour la finalité présentée
• Preuve par le RT que le consentement a été donné par un acte positif clair– Avant le RGPD, le consentement pouvait être passif (case pré-cochée acceptée)
– Après le RGPD, il faut un opt-in (case à cocher)
• Retrait possible du consentement aussi aisément qu’il a été donné
32
Les points à avoir en tête
• Attention ! Le consentement n’est pas toujours le fondement du traitement o Le traitement de données peut être fondé sur
• L’exécution d’un contrat avec la personne physique concernée, à la suite de la requête de la personne ou en vue de la conclusion d’un contrat
• Obligation légale du RT
• Intérêt légitime du RT ou d’un tiers supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée
• Pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne
• Pour une mission d’intérêt public ou officielle du RT
• Archivage dans l’intérêt public, scientifique, statistique ou historique
33
Les points à avoir en tête
• Dans tous les cas de traitement, information nécessaire
de la personne par le RT !
o Information sur la finalité du traitement, les catégories de
données, durée de conservation, les différents droits de la
personne physique (droit d’accès, de rectification des
données, d’effacement, d’opposition, droit à la portabilité
etc.)
34
Les points à avoir en tête
• Une palette étendue de droits pour les personnes physiqueso Droit d’accès
o Droit à la portabilité des données
o Droit d’opposition
o Droit à la limitation des traitements
o Droit à l’oubli
o Droit d’obtenir la rectification
• Demandes à adresser au responsable de traitement qui a aujourd’hui 2 mois pour répondre o 1 mois à compter du 25 mai 2018 avec le RGPD mais prorogeable à
2 mois en cas « de complexité et du nombre de demandes »
35
Droit d’accès
• Toute personne peut demander
o Si ses données font ou ne font pas l’objet d’un traitement
o Des informations relatives aux finalités du traitement
o Des informations relatives aux catégories de destinataires des
données
o Des informations relatives aux transferts de données vers des
Etats non membres de la Communauté Européenne
o La durée de conservation des données / l’information sur une
prise de décision automatisée / l’origine des données
• A compter du 25 mai 2018
36
Droit à la portabilité – à compter du 25 mai
2018
• La personne physique peut récupérer les données la concernanto Pour son usage personnel
o Pour transférer ses données personnelles d’un organisme à un autre
• 3 conditions doivent être réunieso Les données personnelles ont été fournies par la personne concernée
• Données déclarées activement et consciemment par la personne – Création d’un compte en ligne
• Données générées par l’activité de la personne, lorsqu’elle utilise un service ou un appareil (les courriels...)
o Les données sont traitées • De manière automatisée
– Fichiers papiers exclus
• Sur la base exclusivement du consentement préalable ou de l’exécution d’un contrat
o Ce droit ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité
37
Droit à la limitation des données - à compter
du 25 mai 2018
• Droit d'obtenir la limitation du traitement dans l’un des
cas suivants
o Exactitude des données à caractère personnel contestée par
la personne concernée, pendant une durée permettant de
vérifier l'exactitude des données
o Traitement illicite - la personne concernée s'oppose à
l’effacement des données et exige à la place la limitation de
leur utilisation
oOpposition de la personne au traitement en vertu de son droit
d’opposition
38
Droit à l’oubli – à compter du 25 mai 2018
• Motifs
o Données ne sont plus nécessaires au regard des finalités pour
lesquelles elles ont été collectées
o Retrait du consentement et aucun fondement juridique ne
justifie le traitement
oOpposition de la personne au traitement et aucun motif
légitime impérieux pour le traitement
o Traitement illicite
o L’effacement est prévu par une obligation légale
• Nouvelle loi ou décision de justice
39
Droit d’opposition – évolution à compter du
25 mai 2018
• Droit d’opposition modifié o Droit de s’opposer à tout moment aux traitements réalisés à des fins
de prospection et/ou profilage
o Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, aux traitements nécessaires à l'exécution d'une mission d'intérêt public, aux fins d’intérêts légitimes du responsable du traitement ou du tiers
o Interdiction de continuer le traitement pour le RT sauf motifs légitimes et impérieux
• Qui prévalent sur les intérêts et les droits et libertés de la personne concernée
• Pour la constatation, l'exercice ou la défense de droits en justice
40
Les points à avoir en tête
• Renforcement de la sécurité des données
o Tout responsable de traitement, responsable conjoint ou
sous-traitant de données personnelles doit mettre en œuvre
les mesures techniques et organisationnelles appropriées afin
de garantir un niveau de sécurité adapté au risque présenté
par le traitement
• Article 32 du RGPD
oMesures pouvant être mises en œuvre
• Pseudonymisation, chiffrement, minimisation, confidentialité,
intégrité, disponibilité, résilience, tests et évaluations régulières des
mesures techniques et organisationnelles adaptées
41
Les points à avoir en tête
• La CNIL a diffusé 10 commandements en matière de gestion de la sécurité des données personnelles o Adopter une politique de mot de passe rigoureuse
o Concevoir une procédure de création et de suppression des comptes utilisateurs
o Sécuriser les postes de travail
o Identifier précisément qui peut avoir accès aux fichiers
o Veiller à la confidentialité des données vis-à-vis des prestataires
o Sécuriser le réseau local
o Sécuriser l’accès physique aux locaux
o Anticiper le risque de perte ou de divulgation des données
o Anticiper et formaliser une politique de sécurité du système d’information
o Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés
42
Les points à avoir en tête
• Nécessité de mettre en place des procédures internes
pour assurer la protection des données tout au long du
traitement
o Procédures écrite à créer en cas de
• Faille de sécurité
• Demandes de rectification ou d’accès
• Demande de modification des données collectées
• Demande de changement de prestataire
• Etc.
43
Points à avoir en tête
• Transfert des données à l’étrangero Un principe d’interdiction des transferts hors UE
o Des exceptions• Niveau adéquat de protection dans le pays du destinataire
– Pays reconnus comme offrant ce niveau de protection : Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey, Nouvelle-Zélande, Suisse, Uruguay
• « Garanties appropriées » – Clauses contractuelles types
– Binding Corporate Rules (BCR - transferts intra-groupe)
» Option privilégiée pour les transferts internationaux au sein d'un groupe international de sociétés
» Adoptées par la direction du groupe
» Elles permettent d'éviter de conclure autant de contrats qu'il existe de transfert au sein d'un groupe
– Code de conduite assorti d'un engagement contraignant
• Cas des Etats Unis – Entreprises ayant adhéré au Privacy shield
44
POUR CONTINUER
Que diriez-vous de cas pratiques cabinets
d’expertise comptable ?
Cas pratique
• Le Règlement général est-il applicable aux
données personnelles des salariés de vos
cabinets d’expertise comptable ?
oOui ou non ?
46
Cas pratique
• Quelles informations parmi les suivantes, la
personne en charge des RH de votre cabinet
peut-elle demander dans le cadre d’un
recrutement avant embauche ?
o Le parcours universitaire
o L’expérience professionnelle
o Les prétentions salariales
o Le numéro de sécurité sociale
o La situation maritale
47
Cas pratique
• Est-ce que le RGPD s’applique aux données
collectées auprès de vos clients dans le cadre
de la mission d’établissement des bulletins de
paye ?
oOui ou non ?
48
Cas pratique
• Toujours dans cette hypothèse de la mission
d’établissement des bulletins de paye, quel
est le statut de votre cabinet ?
o Responsable de traitement (RT) ou sous-traitant
(ST) ?
49
Cas pratique
• Votre cabinet est-il couvert par une assurance
pour le traitement des données personnelles ?
oOui ou non ?
Jouons un peu !
• Les réponses aux questions !
51
Cas pratique
• Le règlement général est-il applicable aux données
personnelles des salariés de vos cabinets d’expertise
comptable ?
oOui
• Le règlement s’applique aussi bien aux clients du cabinet qu’aux
salariés du cabinet
– Il faudra mettre en œuvre des procédures afin d’assurer la sécurité des
données personnelles des salariés, leur information et le respect de leurs
droits
52
Cas pratique
• Quelles informations parmi les suivantes, la personne en charge des RH de votre cabinet peut-elle demander dans le cadre d’un recrutement avant embauche ?
o Les bonnes réponses en vert !• Le parcours universitaire
• L’expérience professionnelle
• Les prétentions salariales
• Le numéro de sécurité sociale
• La situation maritale– Les données traitées doivent être pertinentes, adéquates et limitées à ce qui
est nécessaire au regard des finalités pour lesquelles elles sont traitées
53
Cas pratique
• Est-ce que le RGPD s’applique aux données collectées
auprès de vos clients dans le cadre de la mission
d’établissement des bulletins de paye ?
oOui !
• Les clients vous transmettent pour réaliser cette mission des données
personnelles concernant des personnes physiques
– La mission d’établissement des bulletins de paye est conclue avec un client
mais les données transmises par ce client concernent des personnes physiques
salariées de ce dernier
• Même avant l’entrée en vigueur du RGPD, votre cabinet doit
aujourd’hui respecter la loi informatique et liberté !
54
Les notions à connaitre
• Responsable de traitement RTo La personne, l'autorité publique, la société ou l'organisme qui décide de
la création du traitement et détermine les finalités et les moyens de celui-ci
• Sous-traitant STo la personne physique ou morale, l'autorité publique, le service ou un
autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement
o Il ne traite ces données que sur instructions du responsable de traitement, à moins que cela ne soit requis par la législation de l’Union ou des États membres
o Il n’utilise pas les données pour son propre compte
• A noter que le RGPD consacre également la notion de responsable conjoint de traitement
55
Cas pratique
• Pourquoi est-il si important de se poser la question du
statut de votre cabinet dans le traitement ?
o Pour des raisons de responsabilité
• La responsabilité de l’EC peut être engagée au plan civil s’il n’a pas
appliqué correctement le règlement RGPD
o Conséquences importantes en termes d’image pour le
professionnel qui se verrait sanctionné pour non respect du
règlement européen
56
Pour vous aider à trouver la solution !
• Opinion du « G 29 » de 2010 - Data protection working party -groupe composé de représentants des différentes autorités de contrôle sur les données personnelles des Etats membres o Lorsque des instructions claires (qui payer, quels montants, à quelle
date etc.) sont données par le client, même si le cabinet dispose d’une certaine latitude (y compris pour les logiciels à utiliser) et peut proposer des conseils, les tâches sont clairement et précisément définies par le client.
o Il apparaît donc que le client est le RT et que le cabinet peut être considéré comme un sous-traitant en ce qui concerne le traitement spécifique de la paie
• Cette appréciation du statut du cabinet dépend des circonstances de fait et n’est pas une règle absolue !
57
Grille de lecture pour déterminer qui est le
RT
• Qui détermine les finalités du traitement ? o Finalité : résultat attendu qui est recherché ou guide les actions prévues
• Pourquoi ce traitement a-t-il lieu
• Qui l’a entrepris ?
• Qui donne les instructions du traitement ? o Influence de droit ou de fait sur le traitement
• Quel est le degré de contrôle réel sur le traitement ?
• Quelle est l’image donnée par les parties concernées ?
• Quelles attentes raisonnables la visibilité peut-elle susciter ?
• Qui détermine les moyens du traitement ? o Moyens : la façon de parvenir à un résultat ou d’arriver à une fin
• Qui détermine les données traitées ?
• Qui détermine les tiers qui auront accès aux données ?
• Qui détermine la politique d’effacement des données ?
o Attention : Le RT peut déléguer au ST la détermination des moyens techniques et organisationnels du traitement (choix du logiciel par exemple)
58
Cas pratique
• Votre cabinet est-il couvert par une assurance pour le traitement des données personnelles ?o La couverture d’assurance est un point important à vérifier !
• Le contrat d’assurance groupe souscrit par la CSO prévoit la couverture des frais de notification en cas d’atteinte aux données personnelles traitées– Notification aux personnes physiques concernées et à l’Autorité de contrôle
– Attention exclusion en cas de défaut ou retard intentionnel de notification par l’assuré aux victimes et à la CNIL d’une atteinte des données
• Pas de couverture de la sanction pécuniaire
• Attention si les données sont stockées chez un prestataire-tiers : celui-ci doit être déclaré au contrat d’assurance
o Vérifiez la couverture proposée par votre contrat d’assurance !
59
COMMENT SE PREPARER AU REGLEMENT
EUROPEEN DES DONNEES PERSONNELLES ?
60
Comment se préparer dans les cabinets ?
• Il faut procéder par étapes pour être prêts le 25 mai 2018 !o Etape 1
• Désigner une personne responsable
o Etape 2 • Auditer les traitements de données
o Etape 3 • Réaliser un audit technique et un audit des prestataires
o Etape 4 • Arrêter un plan d’action
o Etape 5 • Création du registre des traitements si nécessaire
o Etape 6 • Organiser les procédures internes et documenter les actions engagées
61
Comment se préparer dans les cabinets ?
• Etape 1 : Désigner une personne chargée de réaliser une cartographie des traitements de données personnelleso Désignation d’une personne chargée de ces questions
o Obligation de désigner un Délégué à la protection des données personnelle DPO • Pour les autorités et organismes publics (ministères, collectivités territoriales, établissements
publics)
• Pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (compagnies d'assurance ou les banques pour leurs fichiers clients, opérateurs téléphoniques ou fournisseurs d'accès internet)
• Pour les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale) ou relatives à des condamnations pénales et infractions
o Pas d’obligation pour la plupart des cabinets d’EC même si la CNIL encourage cette désignation • Possibilité de désigner un DPO mutualisé ou externe
62
Le DPO
• Missions du délégué à la protection des données DPOo Informer et conseiller sur les obligations incombant au responsable
de traitement/sous-traitant/employés en vertu du RGPD et des autres dispositions applicables en matière de protection des données
o Contrôler
• Le respect du RGPD
• Le respect des autres dispositions applicables
• Le respect des règles internes en matière de protection des données
o Coopérer avec les autorités de contrôle
o Etre le point de contact pour les autorités de contrôle pour toute question relative aux traitements
63
Comment se préparer dans les cabinets ?
• Etape 2 : Faire un audit des traitements de données
personnelles existants
o Inventaire des traitements de données personnelles mis en
œuvre
• Sur la base d’un référentiel adapté à votre cabinet
oObjectifs
• Evaluer les pratiques et les écarts par rapport à la réglementation
• Identifier les risques associés à ces opérations de traitement
• Arrêter un plan d’action pour remédier aux écarts
64
Comment se préparer dans les cabinets ?
• Appréciation des risques o Si identification de traitements de données personnelles susceptibles d'engendrer
des risques élevés pour les droits et libertés des personnes concernées• Notamment les traitements de données sensibles et les traitements reposant sur le
profilage
o Réalisation obligatoire d’une étude d'impact sur la protection des données (PIA)
o Consultation de l’autorité de protection des données avant de mettre en œuvre ce traitement qui pourra s’y opposer
• Que contient une étude d'impact sur la protection des données (PIA) ?o Une description du traitement et de ses finalités
o Une évaluation de la nécessité et de la proportionnalité du traitement
o Une appréciation des risques sur les droits et libertés des personnes concernées
o Les mesures envisagées pour traiter ces risques et se conformer au RGPD
• Modèles et guides pour réaliser une PIA sur le site de la CNIL
65
Comment se préparer dans les cabinets ?
• Etape 3 : Réaliser un audit technique et un audit des
prestataires
oObjectifs
• Evaluer le niveau de sécurité des applications clés du cabinet
• Evaluer le niveau de sécurité et de conformité des sous-traitants en
avec les exigences du RGPD
• Identifier les risques
• Arrêter les améliorations indispensables
66
Comment se préparer dans les cabinets ?
• Etape 4 : arrêter un plan d’action o Déterminer les actions à mettre en œuvre pour respecter les nouvelles règles du
RGPD
o Points incontournables à mettre en place si l’audit relève des défaillances• Seules les données strictement nécessaires à la poursuite de l’objectif du traitement
doivent être collectées et traitées
• La base juridique sur laquelle se fonde le traitement doit être identifiée– Par exemple : intérêt légitime, contrat, obligation légale, consentement de la personne lorsqu’il
est nécessaire
• Les mentions d’information doivent être conformes aux exigences du RGPD
• Les sous-traitants doivent connaitre leurs nouvelles obligations et leurs responsabilités– Clauses contractuelles rappelant les obligations du ST en matière de sécurité, de confidentialité et
de protection des données personnelles traitées
» Modèles de clauses sur le site de la CNIL
• Les modalités d'exercice des droits des personnes concernées doivent être prévues– Droit d'accès, de rectification, droit à la portabilité, retrait du consentement etc.
• Les mesures de sécurité techniques doivent être en place
67
Comment se préparer dans les cabinets ?
• Vigilance particulière pour les traitements
o Portant sur des données sensibles (santé, concernant des mineurs)
o Ayant pour objet ou pour effet • La surveillance systématique à grande échelle d'une zone accessible
au public (vidéo surveillance couplée avec des données de biométrie permettant la reconnaissance des personnes physiques)
• L'évaluation systématique et approfondie d'aspects personnels permettant la prise de décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative (profilage)
o Transférant des données hors de l'Union européenne
68
Comment se préparer dans les cabinets ?
• Etape 5 : Création d’un registre des traitements si nécessaire
oObligatoire pour les entreprises de plus de 250 salariés ou lorsque le traitement effectué est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel, ou s'il porte notamment sur des données sensibles ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions• Modèles de registre sous Excel accessible sur le site de la CNIL
• Les modèles de déclaration CNIL peuvent également vous aider pour déterminer les finalités des traitements
69
Comment se préparer dans les cabinets ?
• Contenu du registre des traitementso Questions à se poser pour chaque traitement
• Qui ? – Indiquer dans le registre le nom et les coordonnées du RT (et de son représentant
légal) et du délégué à la protection des données le cas échéant
– Identifiez les responsables des services opérationnels traitant les données au sein de votre cabinet
– Etablissez la liste des ST
• Quoi ?– Identifiez les catégories de données traitées
– Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (données relatives à la santé par exemple)
• Pourquoi ?– Indiquez la ou les finalités pour lesquelles les données sont collectées ou traitées
(traitement technique du dossier, gestion RH…)
70
Comment se préparer dans les cabinets ?
• Le registre des traitements• Où ?
– Déterminez le pays où les données sont hébergées
– Indiquez vers quels pays les données sont éventuellement transférées
• Jusqu’à quand ?
– Indiquer la durée de conservation pour chaque catégorie de données
• Comment ?
– Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques
d’accès non autorisés aux données et donc d’impact sur la vie privée des
personnes concernées ?
71
Comment se préparer dans les cabinets ?
• Etape 6 : organiser les processus internes et documenter
les actions entreprises
oMise en place de procédures internes pour assurer la
protection des données tout au long du traitement en cas de
• Faille de sécurité avec notification des violations de données
• Demandes de rectification ou d’accès, de modification
• Changement de prestataire
• Gestion des réclamations et des plaintes etc.
72
Comment se préparer dans les cabinets ?
• Documenter
o Nécessité de prouver la conformité au RGPD en cas de
contrôle de la CNIL
o Nécessité de constituer et regrouper la documentation
nécessaire
• Les procédures et documents réalisés à chaque étape doivent être
réexaminés et actualisés régulièrement pour assurer une protection
des données en continu
o Lien avec la NPMQ norme professionnelle de maîtrise de la
qualité et le manuel existant dans les cabinets !
73
Pour vous aider
• Un guide sur la protection des données personnelles à l’usage des experts-comptables rédigé par le CSO o Il comporte de nombreux documents pratiques
comme des exemples de questionnaire d’audit des données, d’audit technique, des fiches d’écart pour les audits, de mentions d’information etc.
• Conseil Sup’ Services sur le site du CSO dédié à ce sujeto Fil rouge d’actualité
• Actualité et veille
• Outils et sites
• FAQ
• Questions pouvant être posées en ligne
• Lien vers le Guide RGPD 74
MERCI DE VOTRE ATTENTION
Nous restons à votre disposition pour toute
question
75
