sables informatique, chefs de projet) Le comprendre et le ......Dominique RENAUD évolue dans le monde de l’IT depuis ses débuts professionnels. Consultant en organisation et sécurité

RGPD

- Le

com

pren

dre

et le

mett

re e

n œ

uvre

isbn

: 978

-2-4

09-0

2538

-9

Après une carrière de manager en Europe et en France, et après avoir dirigé pendant plus de 10 ans la société de conseil et d’expertise CAPACITI, Jacques FOUCAULT est aujourd’hui consultant indépen-dant en système d’information. Certifié auditeur ISO 27001, il a formé ou accompagné depuis 2017 plus d’une centaine d’entreprises du secteur public ou privé dans la mise en œuvre du RGPD.

Loïc PANHALEUX, Docteur en droit, est avocat au Barreau de Nantes et Maître de conférences à la Faculté de droit et des sciences politiques de Nantes. Il est spécialiste en droit des nouvelles technologies, de l’informatique et de la communication ainsi qu’en droit international et de l’Union européenne.

Dominique RENAUD évolue dans le monde de l’IT depuis ses débuts professionnels. Consultant en organisation et sécurité des Systèmes d’Information depuis de nombreuses années, il est spécialisé sur la protection des données à caractère personnel et a obtenu récemment la certification « Privacy Imple-menter ». Il accompagne les organisations privées et publiques de petites et moyennes tailles dans la mise en œuvre du RGPD, au travers de prestations réalisées sur site ou à distance.

Après 25 années à exercer dans le domaine des systèmes d’information, et notamment en tant que consultant et formateur en sécurité, Pierre BÉGASSE est revenu à ses premières amours. Il se consacre do-rénavant à la peinture et à l’illustration et c’est donc tout naturellement qu’il a réalisé les illustrations de ce livre.

Écrit et illustré par quatre auteurs aux expériences et cultures synergiques (managériale, organisation-nelle et juridique), ce livre met en avant leurs retours d’expérience permettant de parler du RGPD de fa-çon pragmatique, avec de nombreux exemples pour l’illustrer.

Pour plus d’informations :

45 €

Le comprendre et le mettre en œuvre(retours d’expérience pour les DPO, responsables d’entreprise, responsables informatique, chefs de projet...)

RGPD Jacques FOUCAULTLoïc PANHALEUXDominique RENAUD Pierre BEGASSE

RGPDLe comprendre et le mettre en œuvre(retours d’expérience pour les DPO, responsables d’entreprise, respon-sables informatique, chefs de projet...)

L’économie numérique, au cœur de la croissance et de la compétitivité des entre-prises, repose en grande partie sur la confiance des clients et des citoyens. Cette confiance ne peut être accordée ou conservée que si les entreprises, les adminis-trations se comportent de manière loyale et transparente dans le traitement des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) apporte un cadre permettant l’instauration de cette confiance.Ce livre présente une méthode, des outils et des exemples, adressés aux personnes ayant en charge la mise en œuvre du règlement, qu’elles soient DPO, responsable administratif et financier, responsable des ressources humaines, responsable informatique, chef de projet, etc. Cette nouvelle édition rend compte de l’évolution du droit en vigueur, présente les évolutions techniques et organisationnelles et permet aux auteurs de partager leurs retours d’expé-rience acquis auprès des organisations.Le lecteur commence par appréhender le règlement avec une approche permet-tant d’en comprendre les éléments structurants puis découvre comment mettre en place un système opérationnel de management des données à caractère personnel qui permet aux entreprises de respecter les exigences du RGPD et de pouvoir le démontrer.Les auteurs présentent ensuite les mesures de sécurité des données à carac-tère personnel en détaillant notamment les mesures techniques et organisa-tionnelles qu’un responsable de traitement doit mettre en œuvre. Les relations contractuelles du responsable de traitement avec les éventuels sous-traitants sont également étudiées. Un chapitre relatif à la transmission des données présente les indications du RGPD sur la réglementation liée aux transferts de données vers des pays tiers ou à des organisations internationales.Pour finir, le contrôle de la CNIL ainsi que les sanctions applicables en cas de violation du RGPD font l’objet de chapitres dédiés.À l’issue de la lecture de ce livre, le lecteur sera en mesure de comprendre que le RGPD ne doit pas être perçu comme une contrainte mais comme un vecteur d’accompagnement à la transition numérique de l’entreprise.

2e édition

+ QUIZ

Version en ligne

OFFERTE !pendant 1 an

1Table des matières

Avant-propos

Chapitre 1Introduction

1. Le RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2. Le RGPD et la loi de 1978 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3. Approche(s) du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

4. Objet et sujets du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

5. Application dans le temps du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . 17

6. Application dans l’espace du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . 17

7. Impact du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

8. RGPD : obligations et opportunités . . . . . . . . . . . . . . . . . . . . . . . . . . 19

9. Retours d’expérience : 10 constats et propositions . . . . . . . . . . . . . . 219.1 Identifier les rôles des acteurs du RGPD . . . . . . . . . . . . . . . . . . 219.2 Régulariser les relations « responsable sous-traitant » . . . . . . . . 229.3 Désigner un gestionnaire d’activité de traitement . . . . . . . . . . . 239.4 Ajuster les processus « métier » . . . . . . . . . . . . . . . . . . . . . . . . . . 239.5 Conserver, archiver, détruire . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239.6 Intégrer la fonction de référent

à la sécurité du système d’information . . . . . . . . . . . . . . . . . . . 249.7 Assurer la gouvernance du RGPD dans le temps . . . . . . . . . . . . 259.8 Impliquer les éditeurs de solutions logicielles. . . . . . . . . . . . . . . 269.9 Mieux gérer les violations de données à caractère personnel. . . 269.10 Sensibiliser : une démarche essentielle . . . . . . . . . . . . . . . . . . . . 27

lcroiseTampon

2Le comprendre et le mettre en œuvre

RGPD

Chapitre 2Une première approche du RGPD

1. Structure du document officiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291.1 Considérants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291.2 Articles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

2. Principaux termes et définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3. Les deux piliers du règlement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

4. Principes fondamentaux juridiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.1 Principes fondamentaux relatifs aux traitements de DCP. . . . . 42

4.1.1 Licéité, loyauté et transparence . . . . . . . . . . . . . . . . . . . . . 434.1.2 Finalité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464.1.3 Proportionnalité des données. . . . . . . . . . . . . . . . . . . . . . . 474.1.4 Exactitude des données . . . . . . . . . . . . . . . . . . . . . . . . . . . 484.1.5 Conservation des données . . . . . . . . . . . . . . . . . . . . . . . . . 484.1.6 Sécurité des données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514.1.7 Responsabilité (accountability) . . . . . . . . . . . . . . . . . . . . . 53

4.2 Principes fondamentaux relatifs aux droits des personnes concernées . . . . . . . . . . . . . . . . . . . . . . 594.2.1 Information et communication. . . . . . . . . . . . . . . . . . . . . 604.2.2 Droit d'accès aux DCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614.2.3 Droit de rectification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624.2.4 Effacement (droit à l’oubli) . . . . . . . . . . . . . . . . . . . . . . . . 624.2.5 Droit d'opposition à un traitement . . . . . . . . . . . . . . . . . . 634.2.6 Droit à la formulation de directives « décès » . . . . . . . . . . 644.2.7 Droit à la limitation du traitement . . . . . . . . . . . . . . . . . . 654.2.8 Droit à la portabilité des données . . . . . . . . . . . . . . . . . . . 66

5. Le pilier "sécurité des DCP" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

6. Du droit au management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67


Chapitre 3Un système de management

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

2. Le système de management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702.1 Qu'est-ce qu'un système?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702.2 Qu’est-ce qu’un système de management ? . . . . . . . . . . . . . . . . 712.3 Caractéristiques d’un système de management . . . . . . . . . . . . . 72

3. Conception du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733.1 Finalité du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733.2 Interaction du système avec son environnement. . . . . . . . . . . . 733.3 Objectifs du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753.4 Éléments qui le composent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753.5 Autres caractéristiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

4. Processus du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764.2 Déterminer le nombre et l'intitulé des processus . . . . . . . . . . . . 774.3 Objectifs, activités, éléments de sorties et mesures techniques

et organisationnelles attachées aux 12 processus . . . . . . . . . . . . 804.3.1 Processus - Accountability . . . . . . . . . . . . . . . . . . . . . . . . . 814.3.2 Processus - Traitements et transferts de données . . . . . . 824.3.3 Processus - Droits des personnes concernées . . . . . . . . . . 844.3.4 Processus - Sous-traitants. . . . . . . . . . . . . . . . . . . . . . . . . . 854.3.5 Processus - Privacy by design . . . . . . . . . . . . . . . . . . . . . . . 864.3.6 Processus - Privacy by default . . . . . . . . . . . . . . . . . . . . . . 884.3.7 Processus - Privacy Impact Assessment (PIA). . . . . . . . . . 894.3.8 Processus - Sensibiliser, former et communiquer . . . . . . . 904.3.9 Processus - Exigences, sollicitations, violations,

poursuites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914.3.10Processus - Évaluer et auditer. . . . . . . . . . . . . . . . . . . . . . . 934.3.11Processus - Gérer la documentation et les preuves. . . . . . 944.3.12Processus - Piloter le SMDCP. . . . . . . . . . . . . . . . . . . . . . . 95

5. Outils du SMDCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97


RGPD

6. Ressources humaines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

7. Autres caractéristiques du SMDCP. . . . . . . . . . . . . . . . . . . . . . . . . . 1027.1 Fonction de contrôle ou de feedback. . . . . . . . . . . . . . . . . . . . . 1027.2 Politiques du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

7.2.1 Politique générale de protection des données à caractère personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

7.2.2 Politique de gestion des données à caractère personnel . .1057.3 Les référentiels du système de gestion . . . . . . . . . . . . . . . . . . . 1057.4 Propriétés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

7.4.1 Il est transversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1067.4.2 Il est décrit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1067.4.3 Il est en amélioration constante . . . . . . . . . . . . . . . . . . . 1077.4.4 Il fournit des preuves . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

8. Gouvernance du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1108.1 Qu’est-ce que la gouvernance ? . . . . . . . . . . . . . . . . . . . . . . . . . 1108.2 Principes de la gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

8.2.1 Collégialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1128.2.2 Transparence du cheminement décisionnaire . . . . . . . . 1128.2.3 Gestion des risques et des conflits. . . . . . . . . . . . . . . . . . 1128.2.4 Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

8.3 Acteurs de la gouvernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1148.4 Structure de gouvernance et rythme. . . . . . . . . . . . . . . . . . . . . 1158.5 Tableau de bord de la gouvernance . . . . . . . . . . . . . . . . . . . . . . 115

9. Intégration du SMDCP avec des systèmes de management existants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1179.1 Juxtaposition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1209.2 Harmonisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1209.3 Mutualisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

10. En résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122


Chapitre 4Mise en œuvre du système de management

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

2. Choix de la méthode. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

3. Phase de conception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1273.1 Étape 1 : Définir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

3.1.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283.1.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283.1.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

3.2 Étape 2 : Collecter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1333.2.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1333.2.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1343.2.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

3.3 Étape 3 : Organiser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1383.3.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1383.3.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1383.3.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

3.4 Étape 4 : Protéger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1463.4.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1463.4.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1473.4.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1493.4.4 Focus sur la rédaction de la politique de gestion

des données à caractère personnel . . . . . . . . . . . . . . . . . . 1493.5 Étape 5 : Clôturer la phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

3.5.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1603.5.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1603.5.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

4. Phase de réalisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1624.1 Les trois étapes de la phase de réalisation . . . . . . . . . . . . . . . . . 1624.2 Étape 1 : Exécuter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

4.2.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1634.2.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163


RGPD

4.2.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1704.3 Étape 2 : Mesurer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

4.3.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1714.3.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1714.3.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

4.4 Étape 3 : Clôturer le projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1724.4.1 Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1734.4.2 Activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1734.4.3 Livrables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

5. Organisation du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1745.1 Échéancier du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1755.2 Ressources du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

6. Cycle de vie du SMDCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

7. Facteurs clés de succès du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Chapitre 5La sécurité des DCP et PIA

1. Système d'information et sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . 1791.1 Rappel sur le système d'information . . . . . . . . . . . . . . . . . . . . . 1791.2 Sécurité des systèmes d'information . . . . . . . . . . . . . . . . . . . . . 1801.3 Normes et référentiels de sécurité

des systèmes d'information . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

2. Sécurité des DCP : que dit le règlement ? . . . . . . . . . . . . . . . . . . . . . 186

3. Privacy by default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

4. Analyse d'impact relative à la protection des données. . . . . . . . . . . 194

5. Traitements et facteurs de déclenchement d’un PIA . . . . . . . . . . . . 195

6. Déroulement d’un PIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1986.1 PIA et respect des principes fondamentaux . . . . . . . . . . . . . . . 199


6.2 PIA et mesures de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2006.2.1 Prise en compte du contexte . . . . . . . . . . . . . . . . . . . . . . 2016.2.2 Appréciation des risques . . . . . . . . . . . . . . . . . . . . . . . . . 2016.2.3 Traitement des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . 2036.2.4 Consultation préalable . . . . . . . . . . . . . . . . . . . . . . . . . . . 2056.2.5 Acceptation des risques . . . . . . . . . . . . . . . . . . . . . . . . . . 206

7. Privacy by design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

Chapitre 6Le(s) responsable(s) et le(s) sous-traitant(s)

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

2. Notion de responsable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2092.1 Interprétation de la notion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2092.2 Les personnes responsables . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

3. Notion de responsable conjoint. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

4. Sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2154.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2154.2 Choix du sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2164.3 Contrat de sous-traitance et sous-traitance

de données à caractère personnel. . . . . . . . . . . . . . . . . . . . . . . . 2184.4 Sous-traitance initiale et sous-traitances successives. . . . . . . . 220

5. Formalisation des relations entre responsable de traitement et sous-traitant . . . . . . . . . . . . . . . . . . . . 221

6. Aspects internationaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

7. Contenu du contrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

8. Résolution du contrat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

9. Contrat entre responsables conjoints . . . . . . . . . . . . . . . . . . . . . . . . 225


RGPD

Chapitre 7Les transmissions de données

1. Distinction entre les transmissions, les transferts européens et les transferts internationaux de données . . . . . . . . . . 227

2. Transmission de données en France . . . . . . . . . . . . . . . . . . . . . . . . . 230

3. Traitements transfrontaliers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2323.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2323.2 Particularité de ces traitements . . . . . . . . . . . . . . . . . . . . . . . . . 2323.3 Détermination de la loi applicable

en cas de traitement transfrontalier . . . . . . . . . . . . . . . . . . . . . 2343.4 Compétence en cas de recours . . . . . . . . . . . . . . . . . . . . . . . . . 239

4. Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales. . . . . . . . . . . . 2404.1 Principe général applicable aux transferts. . . . . . . . . . . . . . . . . 2404.2 Transferts fondés sur une décision d'adéquation . . . . . . . . . . . 2414.3 Transferts moyennant des garanties appropriées. . . . . . . . . . . 2424.4 Règles d’entreprise contraignantes . . . . . . . . . . . . . . . . . . . . . . 244

4.4.1 Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2444.4.2 Exemples de règles d’entreprise contraignantes (BCR) . 247

4.5 Transferts ou divulgations non autorisés par le droit de l'Union. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

4.6 Dérogations pour des situations particulières . . . . . . . . . . . . . 2484.6.1 Autorisation de la personne concernée . . . . . . . . . . . . . . 2484.6.2 Transferts nécessaires. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2484.6.3 Transferts réalisés à partir d’un registre public . . . . . . . 2494.6.4 Transferts à portée limitée. . . . . . . . . . . . . . . . . . . . . . . . 249

4.7 Limites au transfert de catégories spécifiques de données à caractère personnel. . . . . . . . . . . . . . . . . . . . . . . . 250

5. Traitement d’un responsable ou sous-traitant de pays tiers vers l’UE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2515.1 Applicabilité du règlement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2515.2 Désignation d’un représentant . . . . . . . . . . . . . . . . . . . . . . . . . 252


5.3 Modalités et portée de la désignation . . . . . . . . . . . . . . . . . . . . 253

Chapitre 8Le contrôle de l’autorité, la CNIL

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

2. Traitement des réclamations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

3. Enquête . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

4. Accès aux locaux du responsable du traitement ou du sous-traitant. . . . . . . . . . . . . . . . . . . . . . . . . . . 257

5. Notification d’une violation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

6. Mise en demeure. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

7. Rappel à l’ordre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

8. Injonctions diverses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

9. Mesures coercitives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

10. Caractère contradictoire des procédures . . . . . . . . . . . . . . . . . . . . . . 260

11. Publicité des mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

12. Coopération entre autorités centrales . . . . . . . . . . . . . . . . . . . . . . . . 261

Chapitre 9Les sanctions

1. Diversité des sanctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2631.1 Sanctions prononcées par l’autorité de contrôle. . . . . . . . . . . . 264

1.1.1 Mesures correctrices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2641.1.2 Amendes administratives. . . . . . . . . . . . . . . . . . . . . . . . . 268

1.2 Les sanctions pénales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2711.3 Condamnation à des dommages-intérêts . . . . . . . . . . . . . . . . . 2751.4 Sanctions liées au caractère illicite du traitement . . . . . . . . . . 276

1.4.1 Nullité des contrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2761.4.2 Licenciement non fondé. . . . . . . . . . . . . . . . . . . . . . . . . . 276

© E

diti

ons

ENI -

All

righ

ts r

eser

ved


RGPD

2. Représentation de la personne concernée . . . . . . . . . . . . . . . . . . . . . 277

3. Détermination des responsables . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2783.1 Un responsable du traitement . . . . . . . . . . . . . . . . . . . . . . . . . . 2793.2 Plusieurs responsables du traitement . . . . . . . . . . . . . . . . . . . . 2803.3 Un sous-traitant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2813.4 Une pluralité de responsables . . . . . . . . . . . . . . . . . . . . . . . . . . 2813.5 Action récursoire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

4. Appréciation de la responsabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2834.1 Limitation ou exclusion de responsabilité . . . . . . . . . . . . . . . . 2834.2 Responsabilité, certifications et codes de conduites. . . . . . . . . 2834.3 Responsabilité et délégué à la protection des données. . . . . . . 285

4.3.1 Un recours parfois obligatoire . . . . . . . . . . . . . . . . . . . . . 2854.3.2 Un recours recommandé ? . . . . . . . . . . . . . . . . . . . . . . . 2874.3.3 Responsabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

125

Chapitre 4Mise en œuvre du système

de managementMise en œuvre du système de management1. Introduction

La méthode exposée dans ce chapitre permet de disposer au bout de quelquesjours pour les petites entreprises et quelques semaines pour les plus grandes :

– d'un système de management opérationnel

– de preuves opposables en cas de sollicitations ou de poursuite

Le chef de projet devra faire preuve de tactique en combinant de manièreoptimale les modes opératoires et les moyens dont il dispose. Un tel projetvient nourrir la transition numérique de l'entreprise et fait bouger les lignes del'organisation.

2. Choix de la méthodeLe chapitre Un système de management conclut qu’il faut mettre en œuvreun SMDCP composé de processus, d'outils, qui nécessitent des compétences(internes ou externes) ainsi qu’une structure de gouvernance pour atteindre lebut. De plus, en présence de systèmes déjà existants, il doit en être tenucompte dans la phase de conception.

lcroiseTampon

© E

diti

ons

ENI -

All

righ

ts r

eser

ved


RGPD

Dans 80 % des cas, c’est le service informatique qui initialise la réflexionauprès de la direction. Le responsable informatique ou la personne qui enprend l’initiative va profiter d’une réunion de direction pour expliquer lesenjeux du RGPD et les obligations de l’entreprise.

Quelle que soit l’écoute accordée, le projet RGPD est un projet pour lequel lesdirections ne souhaitent pas investir beaucoup de temps ni de ressources. Laméthode de mise en œuvre s’appuie sur deux principes :

– Utiliser des cycles courts pour obtenir rapidement des résultats.

– Capitaliser sur des ressources déjà existantes pour limiter les coûts.

Peu de moyens et beaucoup de résultats

Inspirée du lean startup, la méthode pragmatique du build & run est celle quenous avons retenue. Elle comprend deux phases, conception et réalisation, quenous découpons en cinq étapes pour la conception et trois pour la réalisation.

127Mise en œuvre du système de managementChapitre 4

Dès la phase de conception, des preuves opposables sont produites, la phasede réalisation vient les compléter et les enrichir. Au terme de cette secondephase, le SMDCP passe en mode PDCA, nous parlerons alors du cycle de viedu SMDCP.

3. Phase de conception

La phase de conception comprend cinq étapes :

Nous ne rappelons pas les bonnes pratiques de la gestion de projet, elles sontconsidérées comme connues.

1. Initialiser le projet et définir le périmètre.

2. Collecter les activités de traitement.

3. Évaluer les éléments du système et projeter une organisation.

4. Apprécier le dispositif de sécurité, traiter les analyses d'impacts relativesà la protection des données et rédiger les politiques.

5. Valider le plan de progrès, enregistrer les documents à valeur de preuveset clôturer la phase.

© E

diti

ons

ENI -

All

righ

ts r

eser

ved


RGPD

3.1 Étape 1 : Définir

3.1.1 Objectifs

C'est le lancement du projet. Cette étape vise six objectifs :

– Nommer le chef de projet

– Définir le périmètre du SMDCP

– Identifier les acteurs de la gouvernance

– Définir les critères du registre des activités de traitement

– Définir un support de sensibilisation

– Impliquer la direction

3.1.2 Activités

Nommer le chef de projet

Le chef de projet porte la responsabilité de conduire le projet jusqu'à l'étapeClôturer le projet. Sa compétence est décrite dans le chapitre Un système demanagement. Dans un cas sur deux, il s'agit du DPO ou du référent DPO pres-senti.

Il est important qu'il dispose de relais internes dans l'entreprise. Il estnécessaire qu'il ait acquis des connaissances minimales sur le RGPD, au tra-vers de lectures, de séminaires thématiques ou encore d’une formation. Danstous les cas, il doit être averti sur ce qu’est une donnée à caractère personnelet une activité de traitement.


Il est vivement recommandé que le chef de projet dispose d'un réseau interne

Définir le périmètre

La note de cadrage doit reprendre l’objectif du projet, préciser le périmètre,rappeler les phases, les étapes et les livrables attendus, les ressources demandéeset un premier de plan de communication qui sera mis à jour au fil du projet.

Il est fondamental que cette note de cadrage soit signée par la direction pours’assurer de son support.

RemarqueLa première source d'échec du projet est l'absence d'implication de ladirection.

© E

diti

ons

ENI -

All

righ

ts r

eser

ved


RGPD

Identifier les acteurs de la gouvernance

Le chef de projet projette une première structure de gouvernance. En présencede systèmes déjà existants, il se rapproche de leurs responsables auprèsdesquels il affine cette structure. Sinon, la gouvernance va naturellement êtrecomposée comme suit :

– La direction générale en tant que représentant du responsable des activitésde traitement.

– Le DPO ou le référent DPO.

– Le responsable du système d’information.

– Les directions fonctionnelles : ressources humaines, production, logistique,commerce, marketing, communication, etc.

Cette liste peut être complétée dans certaines entreprises par :

– Le responsable de la sécurité du système d'information.

– Le responsable de la qualité.

– Le responsable e-business ou open data.

Définir les critères du registre des activités de traitement

Pour préparer la collecte, le chef de projet définit les critères du registre. L’uti-lisation d’un tableur est recommandée, il facilite la collecte et permet de pro-duire des indicateurs mesurables. À partir des critères retenus, le chef de projetconçoit un modèle de fiche sur la base duquel sont générées autant de fichesqu’il y a de traitements. Pour faciliter les séances de travail collectif qui sui-vront, cette fiche est à imprimer au format A4. La CNIL propose un modèletéléchargeable.

Voici une liste de critères qu'il nous semble pertinent de retenir au regard desexigences du RGPD, des modèles qui peuvent être proposés par les autoritéset de nos retours d’expérience :

– L'intitulé de l'activité de traitement.

– Le nom et les coordonnées des différents rôles : responsable du traitement,responsable conjoint, représentant du responsable du traitement, délégué àla protection des données ou référent DPO.


– Le nom du gestionnaire de l’activité de traitement.

RemarqueNe pas être capable d'identifier la personne qui gère les droits d'accès auxtraitements est une source de vulnérabilité.

– Si le traitement est sous-traité :– Le nom du sous-traitant et son responsable. – Le nom du collaborateur qui gère ce contrat de sous-traitance.

RemarqueLe travail de mise à jour des contrats est souvent considérable. L'identificationdu gestionnaire des contrats durant la collecte est très utile pour construire leplan de progrès.

– La finalité du traitement.

– Les catégories de personnes concernées, de données à caractère personnel, etles destinataires.

– Le cas échéant, les transferts vers un pays tiers ou à une organisation inter-nationale.

– Les délais prévus pour l'effacement.

– L'exercice des droits des personnes concernées.

Documents

sables informatique, chefs de projet) Le comprendre et le ......Dominique RENAUD évolue dans le monde de l’IT depuis ses débuts professionnels. Consultant en organisation et sécurité