Comment se mettre en conformité RGPD ? Les 7 étapes

La cartographie des traitements est une recommandation de la CNIL pour mesurer le niveau de conformité au RGPD grâce, entre autres, aux informations insérées dans le registre des traitements.

Ainsi, elle permet de suivre la conformité dans le temps et d’alimenter le registre des activités de traitement pour permettre aux organismes d’établir des plans d’actions pour assurer cette conformité.

La cartographie des traitements doit reprendre, à minima, les informations qui doivent se trouver dans le registre des traitements telles que listées dans l’article 30 du RGPD, notamment :

• Les finalités du traitement
• Les catégories de données
• Les catégories de personnes concernées par les données
• Les catégories de destinataires des données
• Les mesures de sécurité appliquées au traitement, etc.

Déterminer la finalité de ses traitements de données personnelles est une obligation essentielle imposée par le RGPD. La finalité d’un traitement de données répond à la question : pourquoi mon entreprise collecte-t-elle ces données ?

Ainsi, collecter les données de prospects via le formulaire d’un site internet est une action dont la finalité générale pourra être la prospection commerciale et la finalité particulière l’entrée en contact afin de vendre un bien ou un service.

En premier lieu, la finalité déclarée d’un traitement en fixe la limite. Il est en effet interdit de traiter des données pour des finalités incompatibles avec les finalités initiales. Dans tous les cas, les personnes concernées devront être informées de cette nouvelle finalité.

En outre, les finalités des traitements mis en œuvre doivent être déclarées dans le registre des traitements et portées à la connaissance des personnes concernées.

Enfin, la durée de conservation des données dépend directement de cette finalité. Il est interdit de conserver des données personnelles plus longtemps que nécessaire pour atteindre la finalité déclarée. Les durées peuvent être prescrites par une réglementation ou laissées à l’appréciation du responsable de traitement.

Prenons un cas typique de violation de la finalité des traitements. Des données sont collectées pour permettre l’inscription d’une personne à un service. La finalité de la collecte est donc la conclusion et l’exécution d’un contrat.

Or, ces données sont ensuite utilisées à des fins de prospection commerciale. Le responsable du traitement ne peut utiliser les données à cette fin que si, dès l’origine, il avait informé la personne d’une telle finalité.

Toute personne dont les données personnelles sont traitées a le droit d’obtenir un certain nombre d’informations obligatoires du responsable du traitement concernant les modalités de traitement de ses données personnelles et ses droits.

Dans le cadre des relations de travail, l’employeur est nécessairement responsable du traitement des données de ses employés. Le contrat de travail et le code du travail obligent l’employeur à traiter certaines données (registre du personnel, paie, évaluations…). Les salariés doivent être informés des raisons pour lesquelles leurs données sont collectées et traitées.

Dans le cadre des relations avec les clients, une entreprise est également responsable du traitement de leurs données, notamment pour le suivi du contrat. Elle doit les informer des raisons de la collecte, de la durée de conservation et des droits qu’ils détiennent sur leurs données.

Les relations de travail et la relation client étant deux domaines de traitement courants, une clause relative aux données personnelles sera incluse dans le contrat et/ou les conditions générales, et des mentions RGPD seront insérées dans les communications avec un lien vers la politique de confidentialité.

EQS Privacy Cockpit permet de répertorier efficacement l’ensemble des documents essentiels à la mise en conformité de votre entreprise.

Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les textes s’accordent pour limiter la conservation des données personnelles. La conservation doit être proportionnée à la finalité du traitement.

• Archivage courant : conservation nécessaire au regard de la finalité du traitement, fixée contractuellement si besoin.
• Archivage intermédiaire : conservation au-delà de la durée initialement prévue, par exemple si la loi fixe une durée supérieure.
• Archivage définitif : certaines données ne peuvent faire l’objet d’aucune destruction (historique, scientifique, statistique).

En l’absence de textes légaux, le responsable de traitement fixe une durée proportionnée à l’objectif poursuivi. Une fois ce délai dépassé, il doit supprimer ou anonymiser les données. La durée commence à compter de la fin de la relation contractuelle ou de la réalisation du traitement.

Exemples de durée de conservation :

• Données relatives à la paie : 5 ans (Article L3243-4 du Code du travail)
• Données personnelles de prospect : 3 ans sans sollicitation (délibération CNIL n°2016-264 du 21 juillet 2016)
• Données établissements de santé : 20 ans (Article R.1112-7 du Code de la santé publique)
• Gestion du personnel : 5 ans (Article R.1221-26 du Code du travail)
• Données fiscales : 6 ans (Article L102 B du Livre des procédures fiscales)
• Contrats électroniques : 10 ans (Article L213-1 du Code de la consommation)
• Vidéosurveillance : 1 mois (Article L.252-3 du Code de la Sécurité intérieure)
• Données cookies : durée maximale 25 mois (délibération CNIL n°2020-092)

Tout traitement de données personnelles doit être fondé sur une base légale. Contrairement à la finalité, qui indique l’objectif métier, la base légale est le titre juridique autorisant le traitement.

Il peut s’agir du consentement de la personne ou de nécessités liées à l’exécution d’un contrat. La base légale doit figurer dans le registre des traitements pour prouver la conformité.

Les bases légales énumérées par le RGPD sont les suivantes, lorsque le traitement :

• A été consenti par la personne concernée.
• Est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci.
• Est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
• Est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
• Est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
• Est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits des personnes physiques fondamentaux qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Lorsque les données personnelles sont dites « sensibles », l’article 9 du RGPD énumère les bases légales spécifiques, plus strictes, qui peuvent être choisies pour opérer le traitement de ces données sensibles.

Si le traitement est nécessaire à l’exécution d’un contrat, à l’expiration de celui-ci, la base légale n’existe plus et les données doivent être supprimées, sauf nouvelle base légale (ex. consentement marketing).

Le consentement autorise la mise en œuvre de traitements de données personnelles. Le RGPD le définit comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque ».

• Droit au retrait : possibilité de retirer son consentement à tout moment
• Preuve du consentement : tenue d’un registre (article 7 §1 RGPD)
• Consentement explicite : déclaration expresse nécessaire
• Consentement des mineurs : moins de 15 ans, consentement parental + de l’enfant (varie selon États-membres)

• Libre
• Spécifique
• Éclairé

Si une personne consent pour un service mais ses données sont utilisées à des fins marketing non déclarées, le consentement est illicite.

Article 7 §3 RGPD : la personne peut retirer son consentement à tout moment, et le responsable doit l’informer de ce droit avant tout recueil de consentement.

Le consentement recueilli avant le 25 mai 2018 est valide s’il répond aux exigences du RGPD. Sinon, il doit être mis en conformité.

La mise en conformité RGPD est un processus continu qui implique une cartographie claire des traitements, la détermination des finalités, l’information des personnes concernées, la conservation limitée des données, le choix d’une base légale et le recueil du consentement. Avec EQS Privacy Cockpit, ces étapes peuvent être gérées efficacement, transformant la conformité en un véritable levier de confiance et de performance pour l’entreprise.