L’économie numérique, au coeur de la croissance et de la compétitivité des entre¬prises, repose en grande partie sur la confiance des clients et des citoyens. Cette confiance ne peut être accordée ou conservée que si les entreprises, les adminis¬trations se comportent de manière loyale et transparente dans le traitement des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) apporte un cadre permettant l’instauration de cette confiance.

Ce livre présente une méthode, des outils et des exemples, adressés aux personnes ayant en charge la mise en oeuvre du règlement, qu’elles soient DPO, responsable administratif et financier, responsable des ressources humaines, responsable informatique, chef de projet, etc. Cette nouvelle édition rend compte de l’évolution du droit en vigueur, présente les évolutions techniques et organisationnelles et permet aux auteurs de partager leurs retours d’expé¬rience acquis auprès des organisations.

Le lecteur commence par appréhender le règlement avec une approche permet¬tant d’en comprendre les éléments structurants puis découvre comment mettre en place un système opérationnel de management des données à caractère personnel qui permet aux entreprises de respecter les exigences du RGPD et de pouvoir le démontrer.

Les auteurs présentent ensuite les mesures de sécurité des données à carac¬tère personnel en détaillant notamment les mesures techniques et organisa¬tionnelles qu’un responsable de traitement doit mettre en oeuvre. Les relations contractuelles du responsable de traitement avec les éventuels sous-traitants sont également étudiées. Un chapitre relatif à la transmission des données présente les indications du RGPD sur la réglementation liée aux transferts de données vers des pays tiers ou à des organisations internationales.

Pour finir, le contrôle de la CNIL ainsi que les sanctions applicables en cas de violation du RGPD font l’objet de chapitres dédiés.

À l’issue de la lecture de ce livre, le lecteur sera en mesure de comprendre que le RGPD ne doit pas être perçu comme une contrainte mais comme un vecteur d’accompagnement à la transition numérique de l’entreprise.



Quizinclus dans
la version en ligne !

• Testez vos connaissances à l'issue de chaque chapitre
• Validez vos acquis

Avant-propos

1. Introduction

Introduction

1. Le RGPD
2. Le RGPD et la loi de 1978
3. Approche(s) du RGPD
4. Objet et sujets du RGPD
5. Application dans le temps du RGPD
6. Application dans l’espace du RGPD
7. Impact du RGPD
8. RGPD : obligations et opportunités
9. Retours d’expérience : 10 constats et propositions
   1. 1. Identifier les rôles des acteurs du RGPD 
   2. 2. Régulariser les relations « responsable/sous-traitant »
   3. 3. Désigner un gestionnaire d’activité detraitement
   4. 4. Ajuster les processus « métier »
   5. 5. Conserver, archiver, détruire
   6. 6. Intégrer la fonction de référent à lasécurité du système d’information
   7. 7. Assurer la gouvernance du RGPD dans le temps
   8. 8. Impliquer les éditeurs de solutions logicielles
   9. 9. Mieux gérer les violations de données à caractèrepersonnel
   10. 10. Sensibiliser : une démarche essentielle

Une première approche du RGPD

1. Structure du document officiel
   1. 1. Considérants
   2. 2. Articles
2. Principaux termes et définitions
3. Les deux piliers du règlement
4. Principes fondamentaux juridiques
   1. 1. Principes fondamentaux relatifs aux traitements deDCP
      1. a. Licéité, loyauté et transparence
      2. b. Finalité
      3. c. Proportionnalité des données
      4. d. Exactitude des données
      5. e. Conservation des données
      6. f. Sécurité des données
      7. g. Responsabilité (accountability)
   2. 2. Principes fondamentaux relatifs aux droits des personnes concernées
      1. a. Information et communication
      2. b. Droit d’accès aux DCP
      3. c. Droit de rectification
      4. d. Effacement (droit à l’oubli)
      5. e. Droit d’opposition à un traitement
      6. f. Droit à la formulation de directives « décès »
      7. g. Droit à la limitation du traitement
      8. h. Droit à la portabilité des données
5. Le pilier "sécurité des DCP"
6. Du droit au management

Un système de management

1. Introduction
2. Le système de management
   1. 1. Qu’est-ce qu’un système??
   2. 2. Qu’est-ce qu’un systèmede management ?
   3. 3. Caractéristiques d’un systèmede management
3. Conception du SMDCP
   1. 1. Finalité du système
   2. 2. Interaction du système avec son environnement
   3. 3. Objectifs du système
   4. 4. Éléments qui le composent
   5. 5. Autres caractéristiques
4. Processus du SMDCP
   1. 1. Définition
   2. 2. Déterminer le nombre et l’intitulé desprocessus
   3. 3. Objectifs, activités, élémentsde sorties et mesures techniques et organisationnelles attachéesaux 12 processus
      1. a. Processus - Accountability
      2. b. Processus - Traitements et transferts de données
      3. c. Processus - Droits des personnes concernées
      4. d. Processus - Sous-traitants
      5. e. Processus - Privacy by design
      6. f. Processus - Privacy by default
      7. g. Processus - Privacy Impact Assessment (PIA)
      8. h. Processus - Sensibiliser, former et communiquer
      9. i. Processus - Exigences, sollicitations, violations,poursuites
      10. j. Processus - Évaluer et auditer
      11. k. Processus - Gérer la documentation et lespreuves
      12. l. Processus - Piloter le SMDCP
5. Outils du SMDCP
6. Ressources humaines
7. Autres caractéristiques du SMDCP
   1. 1. Fonction de contrôle ou de feedback
   2. 2. Politiques du système
      1. a. Politique générale de protectiondes données à caractère personnel
      2. b. Politique de gestion des données à caractèrepersonnel
   3. 3. Les référentiels du systèmede gestion
   4. 4. Propriétés
      1. a. Il est transversal
      2. b. Il est décrit
      3. c. Il est en amélioration constante
      4. d. Il fournit des preuves
8. Gouvernance du SMDCP
   1. 1. Qu’est-ce que la gouvernance ?
   2. 2. Principes de la gouvernance
      1. a. Collégialité
      2. b. Transparence du cheminement décisionnaire
      3. c. Gestion des risques et des conflits
      4. d. Communication
   3. 3. Acteurs de la gouvernance
   4. 4. Structure de gouvernance et rythme
   5. 5. Tableau de bord de la gouvernance
9. Intégration du SMDCP avec des systèmes de management existants
   1. 1. Juxtaposition
   2. 2. Harmonisation
   3. 3. Mutualisation
10. En résumé

Mise en œuvre du système de management

1. Introduction
2. Choix de la méthode
3. Phase de conception
   1. 1. Étape 1 : Définir
      1. a. Objectifs
      2. b. Activités
      3. c. Livrables
   2. 2. Étape 2 : Collecter
      1. a. Objectifs
      2. b. Activités
      3. c. Livrables
   3. 3. Étape 3 : Organiser
      1. a. Objectifs
      2. b. Activités
      3. c. Livrables
   4. 4. Étape 4 : Protéger
      1. a. Objectifs
      2. b. Activités
      3. c. Livrables
      4. d. Focus sur la rédaction de la politique degestion des données à caractère personnel
   5. 5. Étape 5 : Clôturer la phase
      1. a. Objectifs
      2. b. Activités
      3. c. Livrables
4. Phase de réalisation
   1. 1. Les trois étapes de la phase de réalisation
   2. 2. Étape 1 : Exécuter
      1. a. Objectif
      2. b. Activités
      3. c. Livrables
   3. 3. Étape 2 : Mesurer
      1. a. Objectif
      2. b. Activités
      3. c. Livrables
   4. 4. Étape 3 : Clôturer le projet
      1. a. Objectif
      2. b. Activités
      3. c. Livrables
5. Organisation du projet
   1. 1. Échéancier du projet
   2. 2. Ressources du projet
6. Cycle de vie du SMDCP
7. Facteurs clés de succès du projet

La sécurité des DCP et PIA

1. Système d'information et sécurité
   1. 1. Rappel sur le système d’information
   2. 2. Sécurité des systèmes d’information
   3. 3. Normes et référentiels de sécurité dessystèmes d’information
2. Sécurité des DCP : que dit le règlement ?
3. Privacy by default
4. Analyse d'impact relative à la protection des données
5. Traitements et facteurs de déclenchement d’un PIA
6. Déroulement d’un PIA
   1. 1. PIA et respect des principes fondamentaux
   2. 2. PIA et mesures de sécurité
      1. a. Prise en compte du contexte
      2. b. Appréciation des risques
      3. c. Traitement des risques
      4. d. Consultation préalable
      5. e. Acceptation des risques
7. Privacy by design

Le(s) responsable(s) et le(s) sous-traitant(s)

1. Introduction
2. Notion de responsable
   1. 1. Interprétation de la notion
   2. 2. Les personnes responsables
3. Notion de responsable conjoint
4. Sous-traitant
   1. 1. Définition
   2. 2. Choix du sous-traitant
   3. 3. Contrat de sous-traitance et sous-traitance de données à caractèrepersonnel
   4. 4. Sous-traitance initiale et sous-traitances successives
5. Formalisation des relations entre responsable de traitement et sous-traitant
6. Aspects internationaux
7. Contenu du contrat
8. Résolution du contrat
9. Contrat entre responsables conjoints

Les transmissions de données

1. Distinction entre les transmissions, les transferts européens et les transferts internationaux de données
2. Transmission de données en France
3. Traitements transfrontaliers
   1. 1. Définition
   2. 2. Particularité de ces traitements
   3. 3. Détermination de la loi applicable en casde traitement transfrontalier
   4. 4. Compétence en cas de recours
4. Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
   1. 1. Principe général applicable auxtransferts
   2. 2. Transferts fondés sur une décisiond’adéquation
   3. 3. Transferts moyennant des garanties appropriées
   4. 4. Règles d’entreprise contraignantes
      1. a. Généralités
      2. b. Exemples de règles d’entreprisecontraignantes (BCR)
   5. 5. Transferts ou divulgations non autoriséspar le droit de l’Union
   6. 6. Dérogations pour des situations particulières
      1. a. Autorisation de la personne concernée
      2. b. Transferts nécessaires
      3. c. Transferts réalisés à partird’un registre public
      4. d. Transferts à portée limitée
   7. 7. Limites au transfert de catégories spécifiquesde données à caractère personnel
5. Traitement d’un responsable ou sous-traitant de pays tiers vers l’UE
   1. 1. Applicabilité du règlement
   2. 2. Désignation d’un représentant
   3. 3. Modalités et portée de la désignation

Le contrôle de l’autorité, la CNIL

1. Introduction
2. Traitement des réclamations
3. Enquête
4. Accès aux locaux du responsable du traitement ou du sous-traitant
5. Notification d’une violation
6. Mise en demeure
7. Rappel à l’ordre
8. Injonctions diverses
9. Mesures coercitives
10. Caractère contradictoire des procédures
11. Publicité des mesures
12. Coopération entre autorités centrales

Les sanctions

1. Diversité des sanctions
   1. 1. Sanctions prononcées par l’autorité decontrôle
      1. a. Mesures correctrices
      2. b. Amendes administratives
   2. 2. Les sanctions pénales
   3. 3. Condamnation à des dommages-intérêts
   4. 4. Sanctions liées au caractère illicitedu traitement
      1. a. Nullité des contrats
      2. b. Licenciement non fondé
2. Représentation de la personne concernée
3. Détermination des responsables
   1. 1. Un responsable du traitement
   2. 2. Plusieurs responsables du traitement
   3. 3. Un sous-traitant
   4. 4. Une pluralité de responsables
   5. 5. Action récursoire
4. Appréciation de la responsabilité
   1. 1. Limitation ou exclusion de responsabilité
   2. 2. Responsabilité, certifications et codes deconduites
   3. 3. Responsabilité et délégué à laprotection des données
      1. a. Un recours parfois obligatoire
      2. b. Un recours recommandé ?
      3. c. Responsabilité

Annexe

1. Glossaire