RGPD: mettre votre entreprise et vos mentions légales en conformité (partie 2)

20 avril 2018

Comme promis, voici la suite de notre article d'hier sur l'impact de la nouvelle réglementation européenne sur la protection des données RGPD sur vos mentions légales. Aujourd'hui, les experts d'Orson.io vous expliquent comment vous mettre en conformité.


Pour les entrepreneurs, qu’est ce que le RGPD implique ? Comment se mettre en conformité ?


Après avoir pris connaissance des nouveaux droits garantis aux citoyens européens en matière de protection des données personnelles, il est tout naturel de se demander ce qu’il faut en faire et comment se mettre en règle.


C’est pourquoi la CNIL a mis à disposition des entrepreneurs un guide de principes à suivre.

Les 5 principes énoncés par le guide de la CNIL:

1/ Nommer un(e) DPO

Ce principe n’énonce aucune obligation mais une recommandation. Le ou la DPO (Data Protection Officer) s'assurera de la conformité de l’entreprise pour laquelle il/elle travaille et encadrera pour cela tous les traitements de données. Ce sera donc l’interlocuteur/interlocutrice privilégié(e) en cas de contrôle de la CNIL.

2/ Tenir un registre du traitement des données

Il faut recenser les différentes données traitées selon le type de traitements exercés, la catégorie des données traitées, le but et la finalité des traitements, l’origine de ces données ainsi que leur destination s’il y a transfert et pour finir, les différents acteurs concernés par les traitements. À savoir que les sous-traitants aussi se doivent de dresser un registre de traitement de données.
Le but des analyses d’impacts (ou PIA) est d’encadrer et d’anticiper tous les risques que présente le traitement. Cette analyse devra renseigner:
>> une description du traitement et de ses finalités
>> une justification des moyens mis en place pour le traitement
>> une évaluation des risques de violation des droits et libertés des individus concernés
>> les actions mises en place pour anticiper et éviter ces risques.

C’est le responsable de traitement, les sous-traitants ainsi que le DPO (s’il/elle a été nommé(e)) qui seront chargé(e)s de mener ces évaluations.
À savoir qu’il faudra mettre à jour cette analyse d’impact régulièrement.

4/ Instaurer un  processus visant à favoriser la protection des données traitées en interne

Toutes les entreprises doivent garantir la mise en place de procédure de confidentialité et de sécurité optimale dès la conception d’un traitement. En cas de violation ou de fuite de données, la CNIL accorde 72h à l’entreprise pour l’en informer ainsi que les individus concernés par les données.

5/ Constituer un dossier prouvant la conformité de l’entreprise

Il est important de pouvoir prouver votre conformité au RGPD en cas de contrôle de la CNIL.

Pour cela, vous aurez besoin de constituer un dossier avec:
>> Votre registre de traitement
>> Vos éventuels PIA
>> Vos mesures de protection des données destinées à être exportées hors UE.
>> Vos modèles de recueillement du consentement.
>> Vos procédures relatives à l’accès et l’exercice des droits des individus quant à leurs données.
>> Les mentions mises en place sur votre site pour informer les personnes physiques de la récolte et du traitement de leurs données.
>> Tous les contrats, sans exception, entre les différents acteurs
>> Les procédures mis en place en cas de violation et/ou de fuite de données.

Sans une documentation complète, vous serez dans l’incapacité de prouver votre conformité.

Qu’est ce que le RGPD a à voir avec vos mentions légales ?

Avec le RGPD il ne suffira plus d’afficher une note informant de la récolte de données sur votre site. Il faudra adopter un comportement transparent et cela passe aussi par quelques modifications dans vos mentions légales. Ainsi, vous serez en parfait accord avec le RGPD.


Deux solutions s’offrent à vous:
>> soit vous réservez une partie de votre page de mentions légales aux traitements de données
>> soit vous dédiez une page entière de votre site à ce propos.


Dans tous les cas, il vous faudra y informer vos visiteurs de la récolte de données, préciser l’utilisation et la finalité de ces données ainsi que le temps de conservation de celles-ci.

Pensez aussi à mettre en avant les droits des individus sur leur données et les procédures d’application de ces droits.

Est-ce une bonne idée d’utiliser un générateur de mentions légales ?

A priori, les générateurs de mentions légales en ligne ont eu le temps de prendre en compte les nouveautés du RGPD dans leurs mises à jour. Mais puisque l’on n’est jamais trop prudent, nous vous conseillons de vous renseigner auprès de l’éditeur du générateur choisi afin de vous assurer de sa conformité juridique.


Mieux vaut éviter les mauvaises surprises !

Quels risques en cas de non-conformité ?

En cas de contrôle de la CNIL, s’il s'avère que votre entreprise n’est pas en conformité, vous encourez une amende d’une valeur de 20 000 000 € ou d’une valeur correspondante à 4% du chiffre d’affaires mondial de votre entreprise.


Ce sera le chiffre le plus élevé qui sera retenu comme sanction…


Inutile d’ajouter qu’en terme de réputation, l’impact risque d’être, lui aussi, dévastateur.


En bref, le RGPD, ce n’est pas si compliqué mais c’est important ! Cela demande d’investir du temps et de s’y pencher sérieusement.

Enregistrer un commentaire