FAQ

Data Legal Drive a développé un diagnostic RGPD qui vous permet de faire un bilan de votre conformité RGPD et de recevoir, de la part de nos experts, des conseils personnalisés. Commencez dès maintenant

Le registre des traitements permet de cartographier les traitements de données effectués au sein de votre organisme et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles collectées.

Il doit impérativement se présenter sous une forme écrite mais peut être enregistré dans n’importe quel format, par exemple dans un tableau Excel ou un fichier Word. Vous pouvez également recourir à un logiciel spécifique de gouvernance de la conformité RGPD, tel que Data Legal Drive, pour le constituer.

En réalité, deux registres doivent être tenus :

• un registre responsable de traitement (RT)
• un registre sous-traitant (ST).

Le premier recense les traitements mis en place au sein de votre organisme, pour votre compte. Le second recense les activités de traitement effectuées pour le compte de vos clients (agissant, quant à eux, en qualité de responsable de traitement).

Concernant le registre RT

Le registre des traitements en qualité de responsable de traitement doit être constitué sur la base de l’article 30 du RGPD et doit donc contenir a minima les informations suivantes :

• Les personnes/services/organismes impliqués dans le traitement considéré : la personne en charge au sein de votre organisme, le représentant, les éventuels sous-traitants, les éventuels co-responsables, etc
• Les catégories de données traitées (g.: données d’identification, de connexion, etc.)
• Les catégories de personnes concernées (g.: clients, prospects, fournisseurs, etc.)
• Les finalités du traitement considéré, c’est-à-dire ce à quoi servent les données collectées
• Les destinataires de ces données, qu’ils soient internes à votre organismes (g. : le service des ressources humaines) ou externes (e.g.: un partenaire contractuel)
• Les transferts de données personnelles en dehors de l’Union Européenne
• Combien de temps les données sont conservées
• Comment les données sont sécurisées au sein de votre organisme, que les mesures implémentées soient organisationnelles ou techniques

Concernant le registre ST

En application de l’article 28 du RGPD, le registre dit sous-traitant doit a minima comporter les informations suivantes :

• Le nom et les coordonnées du responsable de traitement pour lequel votre organisme traite les données personnelles ;
• La liste des sous-traitants auxquels vous avez recours dans le cadre du traitement considéré, e. vos sous-traitants ultérieurs;
• Les catégories de traitements effectués pour le compte du responsable ;
• Les transferts de données personnelles en dehors de l’Union Européenne ;
• Comment les données sont sécurisées au sein de votre organisme, que les mesures implémentées soient organisationnelles ou techniques.

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Dans les faits, il est donc obligatoire de tenir un tel registre, tout organisme traitant nécessairement de la donnée personnelle.

Néanmoins, les entreprises de moins de 250 salariés peuvent tenir un registre « allégé » se limitant aux traitements suivants :

• Les traitements occasionnels (e.g. : gestion de la paie, gestion des clients, des fournisseurs) ;
• Les traitements susceptibles de générer un risque pour les droits et libertés des personnes (e.g. : système de vidéosurveillance) ;
• Les traitements qui portent sur des données sensibles (e.g. : données de santé, données portant sur l’appartenance syndicale).[1]

[1] https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

Non, à ce jour la CNIL n’a certifié aucun logiciel RGPD.

Seul un référentiel de certification existe pour les DPO, Data Protection Officer, qui souhaitent être certifiés DPO.

La durée de conservation d’une donnée personnelle dépend de plusieurs facteurs :

• La législation applicable, car certaines durées de conservation sont fixées par la loi (g. : les données de facturation doivent être conservées dix ans en application du code de commerce)
• La politique mise en place au sein de votre organisme, qui ne peut dépasser les délais maxima fixés par la loi
• Lorsque vous agissez en qualité de sous-traitant, de la politique de durée de conservation mise en place chez le responsable de traitement

Non, car toutes les entreprises ne sont pas concernées par l’obligation d’avoir un Délégué à la Protection des Données à caractère personnel au sein de leur structure. Cependant, le DPO est néanmoins fortement recommandé par la CNIL. Il a le rôle de conseiller et permet de piloter votre conformité RGPD.

En outre, l’article 37.7 du RGPD prévoit l’obligation de désigner un DPO dans 3 cas précis :

• Lorsque le traitement de données à caractère personnel est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
• Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement : vidéosurveillance, géolocalisation, traitement des échanges bancaires, traitement clients nombreux : tout traitement recouvrant un nombre conséquent de personnes concernées.
• Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de catégories de données sensibles (données de santé, données biométrique …) ou encore de données personnelles relatives à des condamnations pénales et des infractions.

A noter que le Groupe de l’Article 29 est venu préciser que les entreprises privées qui effectuent des missions de service public ne sont pas tenues à cette obligation de désignation. Toutefois, le G29 recommande une nouvelle fois cette désignation.

Le conseil de Data Legal Drive

En cas de contrôle, la CNIL vous demandera de justifier la non-présence d’un DPO, il sera donc essentiel de justifier dans votre documentation les arguments qui auront été déterminants dans votre choix de ne pas en désigner. Dans les faits désigner un DPO interne ou mutualisé avec une autre structure, c’est garantir une conformité RGPD grâce à un interlocuteur unique.

L’Analyse d’Impact relative à la Protection des Données, également appelée AIPD ou encore PIA, est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée des personnes concernées.

En application de l’article 35 du RGPD, une AIPD contient nécessairement :

• Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement
• Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
• Une évaluation des risques pour les droits et libertés des personnes concernées conformément
• Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées

Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

• Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.
• Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

1. Le traitement conduit à une évaluation ou un scoring de la personne concernée (y compris le profilage)
2. Le traitement conduit à adopter une décision automatique avec un effet légal ou similaire pour la personne concernée
3. Le traitement conduit à une surveillance systématique des personnes concernée
4. Le traitement porte sur des données particulières (sensibles)
5. Le traitement constitue une collecte à large échelle des données personnelles
6. Le traitement conduit à croiser des données personnelles
7. Le traitement porte sur les données personnelles de personnes vulnérables
8. Le traitement a recours à des nouvelles technologies
9. Le traitement peut conduire à exclure la personne concernée du bénéfice d'un droit ou d'un contrat

La CNIL a mis à disposition de tous un logiciel open source PIA afin de faciliter la conduite et la formalisation des PIA. Le logiciel Data Legal Drive intègre cet outil dans son module Analyses d’Impact avec quelques améliorations afin de vous garantir des PIA conformes et facilités.

Le Règlement Général sur le Protection des Données (ou General Data Protection Regulation) est un Règlement Européen encadrant le traitement et la circulation des Données Personnelles. Bien qu’adopté en avril 2016, il est entré en vigueur le 25 mai 2018, avec un laps de temps de deux ans pour permettre aux législations nationales de transposer dans leur droit ces dispositions et aux entités procédant à une collecte de données de s’y préparer.

Le RGPD a pour objectifs :

• D’harmoniser les pratiques des entreprises en matière de collecte et d’utilisation des données personnelles des citoyens européens
• De responsabiliser les acteurs concernés

Dès lors, depuis son entrée en vigueur, les entreprises doivent pouvoir être en mesure de démontrer leur conformité au RGPD devant l’autorité de contrôle en charge de la protection des données personnelles.

Tout le monde ! Le RGPD s’applique à toute organisation qui effectue un traitement de données personnelles si :

• Cette organisation est établie en Union Européenne
• Ou si son activité cible des résidents européens

Quelle que soit la taille de l’entreprise, ou son chiffre d’affaire, le RGPD aura vocation à s’appliquer dès lors que l’entreprise est établie sur le territoire de l’Union Européenne et traite des données personnelles.

Enfin, le règlement s’applique pour le traitement de données de tout citoyen européen, indépendamment de sa nationalité.

En tant que Règlement européen, le RGPD est obligatoirement et directement applicable à l’ensemble des pays membres de l’Union Européenne.

Cependant, le transfert de données en dehors de l’Union Européenne reste possible, à condition d’assurer un niveau de protection suffisant et approprié. Dès lors, le transfert de données hors Union Européenne peut être fondés sur :

• Une décision d’adéquation de la Commission européenne confirmant qu’un pays offre un niveau de protection adéquat
• Des Clauses contractuelles types de la Commission européenne
• Des règles internes d’entreprise (ou Binding Corporate Rules)

Le Responsable de traitement est la personne qui détermine les finalités et les moyens du traitement de données à caractère personnel. En pratique, il s’agira de la personne morale incarnée par son représentant légal.

Le responsable de traitement à un rôle clé dans le traitement de données à caractère personnel.

Dès lors, plusieurs obligations en découlent :

• La mise en place et la tenue d’un registre de traitement
• L’application des mesures organisationnelles et techniques pour sécuriser les données
• La coopération avec l’autorité de contrôle (en France, la CNIL)
• Le respect des droits dont disposent les utilisateurs quant à la consultation et à la modification de leurs données

En pratique, plusieurs actions simples doivent être mises en place pour assurer une conformité de votre structure au RGPD.

1. Respecter le principe de minimisation (article 5) en ne collectant que les données pertinentes
2. Disposer d’un registre de traitement
3. Assurer la transparence en informant clairement les personnes dont les données sont collectées
4. Assurer la sécurité des données personnelles collectées et stockées, conformément à l’article 32 du RGPD
5. Identifier les risques d’un traitement de données. Par exemple en fonction de la quantité et du type de données collectées, il peut être pertinent voire obligatoire de mener une analyse d’impact

Le consentement est l’une des bases légales majeures prévues dans le RGPD, sur laquelle il est possible de fonder le traitement de données personnelles.

Le consentement assure aux personnes concernées par la collecte de données un contrôle sur leurs données car leur permet d’accepter ou non le traitement, et de changer d’avis à tout moment.

La notion de consentement n’est pas nouvelle en elle-même, et existait déjà dans la Loi Informatique et Libertés. Cependant, l’adoption du RGPD a permis de renforcer le consentement en l’assortissant :

• D’un droit au retrait : La personne dont les données sont collectées peut, à tout moment, retirer son consentement
• D’un mécanisme de preuve: Le responsable de traitement doit être en mesure de démontrer, à tout moment, que la personne a valablement consenti au traitement de ses données personnelles

Le RGPD prévoit quatre critères du consentement. Celui-ci doit être libre, spécifique, éclairé et univoque. Dès lors, la collecte du consentement doit se faire dans le respect de ces quatre critères.

• La personne ne doit pas être contrainte de donner son consentement, elle doit se sentir libre dans son choix. Ce choix doit, en outre, pouvoir être retiré aussi librement et à tout moment par la personne concernée
• Il doit exister autant de manifestation du consentement qu’il existe de traitement, afin que le consentement soit spécifique
• Lors de la collecte du consentement, la personne concernée doit disposer de toutes les informations nécessaires afin de donner un consentement éclairé. Plusieurs informations doivent être fournies, telles que l’identité du responsable de traitement, les finalités du traitement, les activités de traitement effectuées et le droit de retirer son consentement à tout moment
• Enfin, afin de respecter le caractère univoque, le consentement doit être recueilli au moyen d’une déclaration ou de tout autre acte sans aucune forme d’ambiguïté

Par exemple, cela peut être fait au moyen d’une déclaration manuscrite, ou d’une case à cocher. A l’inverse, la pratique de la case pré-cochée est désormais interdite.

Face aux menaces récurrentes d’actes de malveillance contre les données personnelles (piratage, ransonware, phishing…) et parce que cela constitue une obligation au sens du RGPD, il est indispensable d’assurer une protection efficace des données personnelles traitées.

Conformément à l’article 32 du RGPD, le responsable de traitement et son sous-traitant doivent mettre en place « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »[1].

Dès lors, bien que la mise en place de ces mesures soit obligatoire, celles-ci seront adaptées en fonction :

• Du caractère sensible des données collectées
• Des potentielles conséquences pour la vie privée des personnes concernées en cas de perte ou de piratage de ces données

Par exemple dans le cadre d’une collecte et d’un traitement de données de santé le risque de perte ou de piratage constitue un risque élevé pour la vie privée des personnes concernées dans la mesure où il s’agit de données sensibles.

En tout état de cause, le respect de l’obligation de sécurité s’accompagne dès lors par l’adoption bonnes pratiques, telles que :

• La sensibilisation des utilisateurs aux enjeux de sécurité et de vie privée
• La gestion des habilitations en limitant les accès aux seules données dont un utilisateur aurait besoin
• La mise à jour régulière des antivirus et des logiciels
• La sécurisation des postes de travail, notamment par la création de mots de passe complexes et leur changement régulier
• La pseudonymisation et le chiffrage des données
• La mise en place d’une procédure permettant de tester, analyser et évaluer régulièrement l’efficacité de ces mesures
• La protection des locaux, par exemple via l’installation d’alarmes anti-intrusion, la mise en place de détecteurs de fumées et moyens de lutte contre les incendies

Enfin, comme le rappelle l’article 32§3 du RGPD, l’application d’un code de conduite, ou la preuve d’une certification de l’entreprise en matière de sécurité des données serviront à témoigner du respect des exigences par l’entreprise.

[1] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

Utiliser un logiciel en SaaS pour votre conformité RGPD offre de nombreux avantages, à savoir :

• Le déploiement facile et rapide de l’outil
• L’utilisation d’une solution très sécurisée et aux données protégées grâce à un hébergement en dehors de l’entreprise
• La possibilité de se connecter à l’outil à partir de n’importe quel endroit
• L’utilisation collaborative facile entre plusieurs entités, avec des partenaires ou non
• La facilité d’utilisation par plusieurs collaborateurs grâce à un simple navigateur et une connexion internet
• Le gain de temps pour les équipes internet et IT grâce à la maintenance et aux mises à jour logiciel qui se réalisent automatiquement
• Le modèle économique attrayant pour les souscripteurs avec un système d’abonnement

Le logiciel Data Legal Drive est multilingue. Il est proposé en 9 langues dont le français, l’anglais, l’espagnol, l’allemand, l’italien, le néerlandais, le polonais, le portugais et le roumain.

Le nombre d’utilisateurs est illimité. Le logiciel Data Legal Drive est conçu pour que la conformité RGPD soit collaborative au sein de l’organisation utilisatrice.

Chaque utilisateur et chaque Direction métier peut ainsi participer aux actions et process de conformité RGPD.

La gestion des droits et habilitations s’effectue avec facilité et précision, notamment en affectant chaque utilisateur à des profils.

Les configurations du logiciel Data Legal Drive offrent la possibilité à toute structure d’appliquer à l’identique les droits déjà paramétrés au sein de son organisation. Il est également possible de restreindre les accès à des modules, fonctionnalités, directions, entités, etc.

Vous pouvez créer un nombre illimité de traitements dans le logiciel.

Oui, lorsque vous devenez utilisateur du logiciel Data Legal Drive, toutes les fonctionnalités sont accessibles gratuitement.

Oui, Data Legal Drive permet de reprendre les données – qu’il s’agisse des registres, des fournisseurs, des référentiels logiciels et bien d’autres - à l’aide du module d’import des données. L’import des données peut se réaliser en toute autonomie via des API ou en important un fichier Excel.

Afin de faciliter les démarches et la mise en conformité des entreprises, Data Legal Drive met à disposition des centaines de traitements pré-paramétrés selon le secteur d’activité et reprenant les informations adaptées à votre structure : finalités, durées de conservation, destinataires, etc.

Toutes les données sont exportables, au format XLSX.

Le logiciel permet de piloter avec réactivité l’intégralité des demandes reçues, d’alerter les entités concernées et de fournir des réponses adaptées dans les délais impartis.

C’est le rôle du DPO, Data Protection Officer, qui doit piloter la gouvernance des données personnelles de l’entreprise de manière globale tout en impliquant toutes les Directions métiers et en formant les collaborateurs.

D’un point de vue opérationnel, tous les collaborateurs concernés par la stratégie de conformité RGPD peuvent être intégrés dans le logiciel Data Legal Drive afin qu’ils contribuent aux actions à mener. Le DPO peut attribuer des actions à un collaborateur ou peut l’informer lorsqu’une nouvelle opération est menée par un système de notification.

Grâce au logiciel Data Legal Drive, l’export des pièces justifiants la conformité RGPD de l’entreprise peut se réaliser facilement et à tout moment, qu’ils s’agissent du registre des traitements, du registre des violations, du registre de l’exercice des droits, du registre des actions de pilotage, des référentiels logiciels, des référentiels partenaires.

Data Legal Drive propose deux niveaux de conformité :

• la conformité selon l’article 30 : il correspond aux critères d’évaluation de base de la conformité en cas d’audit de la CNIL
• le mode étendu : il permet d’approfondir la conformité RGPD de son entreprise en détaillant les registres et traitements

Lorsqu’un ou plusieurs partenaires de l’entreprise se trouvent à l’étranger, ils peuvent être renseignés dans le logiciel Data Legal Drive. Ces flux transfrontaliers de données sont représentés par des traitements et visibles dans une carte des flux transfrontaliers.

L’organisation d’un grand groupe constitué d’entités ou d’une multinationale constituée de filiales peut être reproduite dans le logiciel Data Legal Drive.

Les actions menées dans le logiciel sont interconnectées et les démarches – par exemple au niveau des traitements et référentiels - peuvent être mutualisées.

Avec Data Legal Drive, toute la documentation juridique et les textes de référence sont à portée de main des Directions juridiques !

Au-delà de permettre la mise en conformité RGPD et son maintien dans le temps aux entreprises, le logiciel Data Legal Drive offre de nombreux documents juridiques de références tels que les codes Dalloz, les guides CNIL, les guides CEPD, la jurisprudence commentée, les délibérations CNIL commentées ou encore une veille avec les actualités juridiques.

Il existe un référentiel des partenaires afin que les utilisateurs n’aient pas besoin de les saisir les Responsables de traitement et sous-traitants dans l’outil.

Ce référentiel peut être partagé avec d'autres entités.

Le logiciel RGPD Data Legal Drive met à disposition de ses utilisateurs une veille juridique provenant des Editions Législatives, le code de la protection des données commentés de chez Dalloz et des modèles de clauses à ajouter au contrat, bandeau de cookies modèle de politique de confidentialité et bien d'autres.

Un chat live avec les équipes Support est accessible du lundi au vendredi de 9h à 18h depuis le logiciel. Vous pouvez également les joindre au 03 91 21 14 96 et avez accès à notre centre d’aide pour envoyer un message à nos équipes.

Oui, nous sommes à l'écoute de tous nos utilisateurs avec notre programme « Customer centric ». Tous les clients de DLD peuvent proposer des améliorations à l'équipe produit depuis le portail Client, directement accessible à partir de votre espace personnel. Des groupes d’utilisateurs sont d’ailleurs parfois pilotes lors de la mise en place de certaines nouvelles fonctionnalités.