Services juridiques externalisés pour les entreprises

132 Boulevard du Montparnasse, 75014 Paris

01 34 87 62 94

Données personnelles

Est considéré comme une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable » et comme une personne physique identifiable « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 4 RGPD).
 
Qualifiées d’« Or noir » du 21 ème siécle les données personnelles constituent à la fois une source de responsabilité mais également un formidable enjeu de développement pour les acteurs économiques. Dans un contexte règlementaire contraignant et évolutif nous vous aidons à mettre en place une politique de gestion des données personnelles pertinente et conforme.

1 - Conformité RGPD

Nous vous accompagnons dans la mise en conformité ou la vérification de votre conformité avec le Règlement Général sur le Protection des Données n°2016/679 (RGPD) :
 
Nous réalisons d’abord un audit des traitements afin :

  • d’identifier et de cartographier l’ensemble de vos traitements de données personnelles
  • comprendre, pour chaque traitement, quelle est la finalité du traitement et la base légale
  • d’identifier vos sous-traitants de données personnelles (c’est-à-dire les entreprises auxquelles vous confiez le traitement de vos données personnelles)
     

Sur la base de cet audit, nous sommes en mesure :

  • d’identifier les non-conformités et de procéder aux mises en conformité nécessaires
  • d’établir le registre des activités de traitement permettant d’identifier :  
    o         le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
    o         les finalités du traitement
    o         une description des catégories de personnes concernées et des catégories de données à caractère personnel
    o         les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
    o         le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale
    o         dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données
    o         dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en place
  • de réaliser une étude d’impact lorsque le traitement envisagé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques concernées
  • de rédiger la documentation nécessaire au respect des droits des personnes (élaboration des politiques ou chartes d’utilisation des données personnelles, mise en place des procédures d’opposition, d’accès, de rectification, d’effacement ou de déréférencement)
  • de vous assister dans la nomination d’un délégué à la protection des données (DPO)
  • de vous assister dans l’élaboration et le suivi de la documentation de conformité RGPD

2 - RGPD dans les contrats

2.1 - Les obligations du sous-traitant

Le RGPD prévoit des dispositions qui doivent obligatoirement figurer dans les contrats signés entre une entreprise sous-traitante de données personnelles, c’est-à-dire une entreprise qui traite des données à caractère personnel pour le compte du responsable de traitement, et ledit responsable de traitement.
 
Le contrat signé entre le responsable de traitement et le sous-traitant doit notamment prévoir que le sous-traitant :

  • ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers
  • veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • prend toutes les mesures requises pour assurer la sécurité des données à caractère personnel
  • respecte les conditions requises lors de la désignation d’un autre sous-traitant (autorisation écrite préalable du responsable du traitement, contrat en place avec le nouveau sous-traitant comportant les mêmes obligations en matière de protection de données que celles fixées dans le contrat entre le responsable du traitement et le sous-traitant) 
  • aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits (droit d’information et d’accès aux données personnelles, droit de rectification et d’effacement, droit d’opposition,…)
  • aide le responsable du traitement à garantir le respect des obligations à sa charge en matière de sécurité du traitement, notification à l'autorité de contrôle d'une violation de données à caractère personnel, communication à la personne concernée d'une violation de données à caractère personnel, analyse d'impact relative à la protection des données et consultation préalable
  • selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit applicable n'exige la conservation des données à caractère personnel
  • met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribue à ces audits.
     

2.2 - Les transfert de données

Le RGPD autorise les transferts de données personnelles en dehors de l’UE vers les pays considéré par la Commission européenne comme assurant un niveau de protection adequat ou en présence de garanties appropriées de nature à sécuriser le transfert telles que les clauses contractuelles type de la Commission Européenne ou les Binding Corporate Rules (BCR).
 
Les récentes évolutions de l’actualité relative aux données personnelles (invalidation du Privacy Shield encadrant les transferts de données personnelles vers les États-Unis suite à la décision de la CJUE du 16 juillet 2020, dite « Schrems II », Brexit) ont renforcé la nécessité de sécuriser l’éventuel transfert de données personnelles vers des pays tiers à l’UE.
 
externalegal vous assiste dans la sécurisation de vos transferts de données personnelles, notamment par la négociation de clauses contractuelles adaptées.