Il est nécessaire de définir la notion de <span class="miseenevidence">donnée personnelle</span> pour comprendre ce que recouvre le <span class="miseenevidence">traitement de données personnelles</span>.

Qu'est-ce qu'une donnée personnelle ?

Une donnée personnelle ou « <span class="expression">donnée à caractère personnel</span> » est une <span class="miseenevidence">information se rapportant à une personne physique identifiée ou identifiable </span>(ex : nom, prénom, numéro de sécurité sociale, adresse, numéro de téléphone, adresse mail, photo, empreinte, donnée de géolocalisation, adresse IP ou identifiant en ligne).

Une personne est dite <span class="miseenevidence">identifiée</span> lorsque l'on connaît son identité. Une personne est <span class="miseenevidence">identifiable</span> lorsqu'elle peut être identifiée, quand bien même ses nom et prénom resteraient inconnus, à partir du <span class="miseenevidence">croisement d'un ensemble de données</span> (ex : une femme vivant à telle adresse, née tel jour et membre de telle association).

En revanche, une donnée n'est plus personnelle lorsqu'elle est <span class="miseenevidence">anonymisée</span>, éliminant ainsi toute possibilité d'identifier la personne concernée.

De même, une donnée n'est pas personnelle lorsqu'elle se rapporte à une <span class="miseenevidence">personne morale</span> (ex : une entreprise, une association).

Qu'est-ce qu'un traitement de données personnelles ?

Un traitement de données personnelles consiste en <span class="miseenevidence">toute opération portant sur des données personnelles</span>, quel que soit le procédé utilisé (ex : la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement de données).

Autrement dit, on parle de traitement de données dès que les données d'une personne sont utilisées d'une manière ou d'une autre et peu importe à qui appartiennent ces données (un <span class="miseenevidence">client</span>, un <span class="miseenevidence">fournisseur</span>, un <span class="miseenevidence">prestataire</span>, un <span class="miseenevidence">employé</span>, un <span class="miseenevidence">candidat à l'embauche</span>, etc.).

Un traitement de données personnelles n’est pas nécessairement informatisé, <span class="miseenevidence">les fichiers papier sont également concernés</span> et doivent être protégés dans les mêmes conditions.

Pour être conforme au RGPD, le traitement de données doit obéir aux <span class="miseenevidence">principes suivants</span> :

• Le traitement doit être <span class="miseenevidence">licite</span> : il doit être fondé sur l'une des 6 bases légales fixées par le RGPD notamment le consentement de la personne concernée, l'exécution d'un contrat ou le respect d'une obligation légale.
• Le traitement doit être <span class="miseenevidence">transparent</span> : la personne dont les données sont collectées doit être informée de la collecte et de sa finalité, ainsi que des droits dont elle dispose sur ses données (accès, rectification, portabilité, effacement...).
• Le traitement doit avoir une <span class="miseenevidence">finalité</span> : le responsable du traitement doit définir l'objectif poursuivi par la collecte des données (ex : prospection, suivi de relations clients, ressources humaines). Les données ne doivent pas être traitées d’une manière incompatible avec cette finalité.
• Le traitement doit être <span class="miseenevidence">proportionnel et pertinent</span> : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. On parle de « <span class="expression">principe de minimisation</span> ». Par exemple, une société n'a pas à collecter le numéro de téléphone de ses clients lorsqu'elle adresse uniquement de la prospection par mail.
• Le traitement doit être <span class="miseenevidence">temporaire</span> : la durée de conservation des informations doit être définie dès la mise en place du dispositif qui collecte ces données. Une fois l’objectif atteint, les informations collectées ne sont plus nécessaires et doivent donc être supprimées.
• Le traitement doit être <span class="miseenevidence">sécurisé</span> : toutes les mesures nécessaires pour garantir la sécurité, et notamment la confidentialité des données personnelles doivent être mises en place (ex : mots de passe, https, sauvegarde). Ces mesures de sécurité sont proportionnelles aux risques encourus (ex : vol ou perte de données).

Sauf exceptions, tout traitement portant sur des données dites <span class="miseenevidence">sensibles</span> est <span class="miseenevidence">interdit</span>. Il s'agit d'une <span class="miseenevidence">catégorie de données éminemment personnelles</span> qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques).

Qui est responsable du traitement ?

Le représentant légal de l'entreprise (chef d'entreprise, gérant, président...) est désigné « <span class="miseenevidence">responsable du traitement</span> ». Le responsable du traitement est la personne <span class="miseenevidence">à l'initiative du traitement de données</span>, il détermine ses finalités et ses moyens.

Le plus souvent, le responsable de traitement a recours à un <span class="miseenevidence">sous-traitant</span> chargé de traiter les données pour le compte du responsable du traitement (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale).

Le responsable du traitement et son sous-traitant doivent respecter de <span class="miseenevidence">nombreuses obligations</span> en matière de protection des données personnelles.

Le responsable du traitement doit <span class="miseenevidence">informer toute personne</span> dont les données sont collectées.

Cette obligation s'applique que la collecte soit <span class="miseenevidence">directe</span> (ex : données recueillies auprès de la personne dans un formulaire) ou <span class="miseenevidence">indirecte</span> (ex : données récupérées auprès de partenaires commerciaux, de <a href="https://stmeen-montauban.fr/entreprise/?xml=R67435">data brokers</a> ou de sources accessibles au public).

L'information doit être délivrée <span class="miseenevidence">au moment de la collecte</span> (en cas de collecte directe) ou dans un délai raisonnable après avoir obtenu les données, sans dépasser <span class="miseenevidence">1 mois</span> (en cas de collecte indirecte).

Quelles informations faut-il délivrer ?

Le responsable du traitement doit transmettre les <span class="miseenevidence">informations suivantes</span> :

• Identité et coordonnées du responsable du traitement
• Coordonnées du délégué à la protection des données (DPO), le cas échéant
• Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées
• Base légale justifiant le traitement : il peut s'agir du consentement de la personne, du respect d'une obligation prévue par un texte de loi, de l'exécution d'un contrat, etc.
• Caractère obligatoire ou facultatif de la fourniture de données personnelles : les conséquences pour la personne en cas de non-fourniture des données
• Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)
• Durée de conservation des données personnelles
• Droits de la personne sur ses données : droit de refuser la collecte, droit d'accéder, de rectifier et d'effacer ses données
• Droit de la personne d'introduire une réclamation auprès de la <a href="https://stmeen-montauban.fr/entreprise/?xml=R34268">Cnil</a>
• Source d’où proviennent les données personnelles, en cas de collecte indirecte
• Existence d'un transfert des données personnelles vers un pays hors de l'<a href="https://stmeen-montauban.fr/entreprise/?xml=R41270">Union européenne</a>, le cas échéant.

Comment délivrer l'information ?

Les informations doivent être transmises de façon <span class="miseenevidence">concise, transparente, compréhensible et facilement accessible</span>, en des termes clairs et simples. Autrement dit, l’information doit être présentée de manière efficace et succincte pour <span class="miseenevidence">ne pas être noyée</span> parmi d’autres contenus informatifs.

La forme de présentation doit <span class="miseenevidence">tenir compte du support</span> sur lequel est communiquée l’information. Par exemple, pour éviter des mentions trop longues au niveau d’un formulaire en ligne, le responsable du traitement peut donner un premier niveau d'information en fin de formulaire et renvoyer vers une page dédiée sur son site internet.

Le titre de la page doit être clair, par exemple : « <span class="expression">politique de confidentialité</span> », « <span class="expression">page vie privée</span> » ou « <span class="expression">données personnelles</span> ». Cette page fait partie des <a href="https://stmeen-montauban.fr/entreprise/?xml=F31228">mentions obligatoires sur un site internet</a>.

Quelle sanction en l'absence d'information ?

Le fait de ne pas informer la personne auprès de laquelle sont recueillies des données est puni d'une <span class="miseenevidence">amende pénale</span> de <span class="valeur">1 500 €</span> pour les entrepreneurs individuels et <span class="valeur">7 500 €</span> pour les sociétés.

Le <span class="miseenevidence">consentement</span> correspond à toute manifestation de volonté par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Le plus souvent, le responsable du traitement doit <span class="miseenevidence">recueillir le consentement</span> de la personne avant de mettre en œuvre le traitement de ses données personnelles.

Le recueil de consentement est-il toujours obligatoire ?

Le recueil du consentement est <span class="miseenevidence">obligatoire</span>, à moins que le traitement soit justifié par <span class="miseenevidence">l'exécution d'un contrat</span> (ex : contrat de travail, contrat de vente, de location).

De plus, le recueil de consentement est <span class="miseenevidence">toujours obligatoire</span> dans les cas suivants :

• Collecte de <span class="miseenevidence">données personnelles « sensibles »</span>. Il s'agit d'une catégorie de données éminemment personnelles qui sont susceptibles de conduire à des discriminations si elles sont révélées (ex : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle, appartenance syndicale, données génétiques).
• Réutilisation des données pour <span class="miseenevidence">d'autres finalités</span>. Par exemple, un magasin de sport organise un concours et collecte les données des participants pour pouvoir contacter le gagnant (finalité initiale). Si le magasin décide, par la suite, d'utiliser ces données pour constituer un fichier client (nouvelle finalité), il devra de nouveau recueillir le consentement des personnes.
• Utilisation de <span class="miseenevidence">cookies non essentiels </span>au fonctionnement du service (ex : ciblage publicitaire). La <a href="https://stmeen-montauban.fr/entreprise/?xml=R34268">Cnil</a> a constitué un dossier sur les <a href="https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs" target="_blank">règles applicables à l’usage de cookies</a>.
• Utilisation des données à des fins de <span class="miseenevidence">prospection commerciale</span> par voie électronique (ex : newsletter, sms). L'obligation de consentement s'éteint si la personne prospectée est déjà cliente de l'entreprise et que la prospection concerne des produits ou services similaires.

Comment recueillir un consentement valable ?

Pour être valable, le consentement obtenu doit remplir les <span class="miseenevidence">4 conditions suivantes</span> :

• Le consentement doit être <span class="miseenevidence">libre</span> : il ne doit être ni contraint ni influencé. La personne concernée doit avoir véritablement le choix d'accepter ou de refuser le traitement, sans avoir à subir de conséquences négatives en cas de refus (ex : inaccessibilité du site internet). La personne doit également avoir le droit de retirer son consentement à tout moment, et aussi facilement qu'elle l'a donné.
• Le consentement doit être <span class="miseenevidence">éclairé</span> : avant de consentir, la personne concernée doit avoir reçu une information suffisante (identité du responsable du traitement, finalité du traitement, type de données collectées, droit de retirer le consentement et éventuel transfert des données hors UE) de manière à pouvoir décider en toute connaissance de cause. L'information doit être communiquée en des termes clairs et facilement compréhensibles.
• Le consentement doit être <span class="miseenevidence">spécifique</span> : si le traitement comporte plusieurs finalités (ex : gestion de clientèle, enquête de satisfaction, opération de prospection), la personne concernée doit pouvoir donner son consentement de façon indépendante pour l’une ou l’autre de ces finalités.
• Le consentement doit être <span class="miseenevidence">univoque</span> : il doit être donné par un acte délibéré, sans aucune ambiguïté. Il peut être recueilli, par exemple, au moyen d'une déclaration écrite ou orale ou via le cochage d'une case par voie électronique (ex : « <span class="expression">J’accepte que mon adresse électronique soit réutilisée à des fins de prospection commerciale par courrier électronique</span> ».

En revanche, l'utilisation de cases de consentement cochées par défaut est <span class="miseenevidence">interdite</span>. De plus, le silence de la personne concernée (ex : la personne visite le site internet sans accepter ou refuser les cookies) <span class="miseenevidence">ne vaut pas consentement</span>.

Comment fonctionne le retrait du consentement ?

La personne concernée doit également avoir le <span class="miseenevidence">droit de retirer son consentement</span> à tout moment, et aussi facilement qu'elle l'a donné. Par exemple, lorsque le consentement est obtenu par voie électronique uniquement par un clic, une frappe ou en balayant l’écran, la personne concernée doit pouvoir retirer ce consentement de la même manière.

Lorsqu'une personne concernée retire son consentement, le responsable du traitement doit cesser tous les traitements qui se fondent sur celui-ci. Toutefois, les opérations réalisées sur la base d'un consentement donné valablement avant le retrait restent valables.

Quelle sanction en l'absence de consentement ?

Lorsque le recueil de consentement est obligatoire, le traitement de données personnelles obtenues <span class="miseenevidence">sans le consentement</span> de la personne concernée est puni pénalement de <span class="miseenevidence">5 ans</span> d'emprisonnement et <span class="valeur">300 000 €</span> d'amende pour les entrepreneurs individuels et <span class="valeur">1 500 000 €</span> pour les sociétés.

Le responsable du traitement doit <span class="miseenevidence">garantir des droits</span> aux personnes dont les données sont collectées : droit d'accès, droit de rectification, droit d'effacement, droit à la portabilité des données ainsi que le droit d'opposition au traitement.

Droit d'accès aux données

Le responsable du traitement doit permettre, à la personne qui en fait la demande, <span class="miseenevidence">d'accéder à ses données</span> faisant l'objet d'un traitement. La personne concernée doit pouvoir exercer ce droit, par exemple, au moyen d'un formulaire en ligne, d'une messagerie ou d'un mail de contact.

À cette occasion, le responsable doit lui fournir les <span class="miseenevidence">informations suivantes</span> :

• Finalité poursuivie par le traitement : c'est-à-dire à quoi vont servir les données personnelles collectées
• Destinataires des données personnelles : qui va recevoir et accéder aux données (service interne compétent, prestataire, etc.)
• Durée de conservation des données personnelles
• Droits de la personne sur ses données : droit de refuser le traitement, droit de rectifier et d'effacer ses données
• Droit de la personne d'introduire une réclamation auprès de la <a href="https://stmeen-montauban.fr/entreprise/?xml=R34268">Cnil</a>
• Source d’où proviennent les données personnelles, en cas de collecte indirecte
• Existence d'un transfert des données personnelles vers un pays hors de l'<a href="https://stmeen-montauban.fr/entreprise/?xml=R41270">Union européenne</a>, le cas échéant.

La personne concernée doit pouvoir accéder aux informations sur lesquelles le responsable du traitement s’est fondé <span class="miseenevidence">pour prendre une décision la concernant</span>. Par exemple, les éléments qui auraient servi à un employeur pour ne pas lui accorder une promotion ou le score attribué par une banque et qui a conduit au rejet d'une demande de crédit.

Le responsable a <span class="miseenevidence">1 mois pour répondre</span> à compter de la date de réception de la demande, y compris s'il ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès.

Les éléments doivent être communiqués <span class="miseenevidence">gratuitement</span> et de manière <span class="miseenevidence">facilement compréhensible</span>. Les codes, sigles et abréviations utilisés doivent être expliqués (éventuellement par le biais d’un lexique).

Le responsable du traitement peut <span class="miseenevidence">refuser la demande d’accès</span> à condition de motiver sa décision. Dans ce cas, il doit informer le demandeur des voies et délais de recours permettant de la contester.

Il peut également <span class="miseenevidence">ne pas répondre aux demandes manifestement abusives</span> notamment en raison de leur nombre et de leur caractère répétitif ou systématique (ex : demande d’une copie intégrale d’un enregistrement toutes les semaines).

Droit de rectification des données

Le responsable du traitement doit permettre, à la personne qui en fait la demande, de <span class="miseenevidence">rectifier ses données inexactes</span> dans les meilleurs délais. La personne concernée doit pouvoir compléter ses données incomplètes, y compris en fournissant une déclaration complémentaire.

Droit à l'effacement des données (« droit à l'oubli »)

Le responsable du traitement doit permettre, à la personne qui en fait la demande, d'obtenir <span class="miseenevidence">l'effacement de ses données</span> dans les meilleurs délais.

Ce « droit à l'oubli » n'est pas général, il s'applique <span class="miseenevidence">uniquement dans les cas suivants</span> :

• Les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière.
• La personne concernée retire le consentement sur lequel est fondé le traitement, et ce traitement n'est pas justifié par l'exécution d'un contrat (ex : contrat de vente, de location, de travail).
• La personne concernée s’oppose au traitement et il n’existe pas de motif légitime pour le traitement.
• Les données personnelles ont fait l’objet d’un traitement illicite (ex : le consentement de la personne n'a pas été reucueilli alors qu'il était obligatoire)
• Les données personnelles doivent être effacées pour respecter une obligation légale prévue par le droit de l’<a href="https://stmeen-montauban.fr/entreprise/?xml=R41270">UE</a> ou par le droit de l’État membre auquel le responsable du traitement est soumis.

Droit à la portabilité des données

Le responsable du traitement doit permettre, à la personne qui en fait la demande, <span class="miseenevidence">de recevoir ses données et de les réutiliser</span>, dans un délai raisonnable (entre 1 et 3 mois selon la complexité de la demande).

Le droit à la portabilité s'applique aux données personnelles <span class="miseenevidence">déclarées par la personne</span> (ex : adresse mail, nom, âge) ainsi qu'à celles <span class="miseenevidence">générées par son activité</span> lorsqu'elle utilise un service ou un appareil (ex : achats enregistrés sur une carte de fidélité).

En revanche, les données personnelles qui sont <span class="miseenevidence">dérivées, calculées ou déduites</span> à partir des données fournies par la personne concernée (ex : profilage à des fins publicitaires) ne rentrent pas dans le périmètre de ce droit.

Le responsable doit communiquer <span class="miseenevidence">gratuitement</span> les données dans un <span class="miseenevidence">format structuré, couramment utilisé et lisible par ordinateur</span>. Lorsque c’est techniquement possible, la personne peut demander à ce que ses données soient directement transmises à un autre responsable de traitement.

Ce droit n’entraîne pas la suppression des données du service depuis lequel elles sont portées. De plus, il peut s’exercer à tout moment, y compris si la personne veut continuer à utiliser le service après avoir exercé ce droit.

La <a href="https://stmeen-montauban.fr/entreprise/?xml=R34268">Cnil</a> recommande fortement de mettre en place une procédure interne pour répondre aux demandes qui pourraient être reçues. Par exemple, prévoir une fonctionnalité permettant à la personne concernée de télécharger ses données dans un format standard lisible par un ordinateur (CSV, XML, JSON, etc.) directement depuis son compte/espace authentifié.

Le responsable du traitement peut <span class="miseenevidence">refuser la demande de portabilité </span>à condition de motiver sa décision. Il peut également <span class="miseenevidence">ne pas répondre aux demandes manifestement abusives</span> notamment en raison de leur nombre et de leur caractère répétitif ou systématique.

Droit d'opposition au traitement

Le responsable du traitement doit permettre à la personne concernée de <span class="miseenevidence">s'opposer à la réutilisation de ses données</span> à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat.

Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante.

Le droit d'opposition peut être exercé par la personne <span class="miseenevidence">seulement si</span> le traitement est justifié par un <a href="https://www.cnil.fr/fr/les-bases-legales/interet-legitime" target="_blank">intérêt légitime</a> (ex : traitement mis en œuvre à des fins de prévention de la fraude ou visant à garantir la sécurité du réseau et des informations).

Au contraire, si le traitement est justifié parce que la personne concernée a donné son consentement, celle-ci devra exercer son droit au retrait du consentement et pas son droit d'opposition.

Le registre des activités de traitement permet de <span class="miseenevidence">recenser les traitements de données</span> et d'avoir d’une vue d’ensemble des utlisations de ces données personnelles.

Qui est concerné par le registre ?

L’obligation de tenir un registre des traitements ne s'applique pas à toutes les entreprises, il est nécessaire de se référer à leur taille.

Que doit contenir le registre ?

Le registre doit <span class="miseenevidence">recenser l'ensemble des traitements</span> mis en œuvre par l'entreprise.

En pratique, une fiche de registre doit être établie pour chaque traitement. Chaque fiche de registre doit contenir les <span class="miseenevidence">éléments suivants</span> :

• Identité du responsable de traitement, du délégué à la protection des données et des sous-traitants
• Catégories de personnes concernées (ex : client, prospect, employé)
• Catégories de données traitées (ex : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation)
• Finalités du traitement, c'est-à-dire l’objectif en vue duquel ces données ont été collectées
• Destinataires des données, c'est-à-dire ceux à qui les données ont été ou seront communiquées, y compris les sous-traitants
• Durée de conservation des données, ou à défaut les critères permettant de la déterminer
• Description générale des mesures de sécurité des données
• Le cas échéant, transfert des données vers un pays hors de l'<a href="https://stmeen-montauban.fr/entreprise/?xml=R41270">UE</a>.

Quelle forme doit prendre le registre ?

Le RGPD impose uniquement que <span class="miseenevidence">le registre se présente sous une forme écrite</span>. Le format du registre est libre et peut être constitué au format papier ou électronique.

La CNIL met à disposition des <a href="https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement" target="_blank">modèles de registre de traitement</a>.

Toute entreprise doit <span class="miseenevidence">assurer la sécurité des données personnelles</span> qu'elle a collectées (données de clients, de fournisseurs, d'employés, etc.). Pour garantir un niveau de sécurité adapté au risque, de nombreuses <span class="miseenevidence">mesures techniques et organisationnelles</span> sont nécessaires.

Recenser les traitements de données

Le responsable du traitement doit <span class="miseenevidence">recenser les traitements</span> de données personnelles (automatisés ou non) <span class="miseenevidence">et les supports</span> sur lesquels ces traitements reposent, c'est-à-dire :

• les matériels (ex. : serveurs, ordinateurs portables, disques durs)
• les logiciels (ex. : systèmes d’exploitation, logiciels métier)
• les canaux de communication logiques ou physiques (ex. : fibre optique, Wi-Fi, Internet, échanges verbaux, coursiers)
• les supports papier (ex. : documents imprimés, photocopies)
• les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).

Apprécier les risques liés à chaque traitement

Ce recensement permet d'<span class="miseenevidence">apprécier les risques</span> engendrés par chaque traitement, notamment :

• <span class="miseenevidence">Accès illégitime à des données</span> (ex : usurpation d’identité consécutive à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise)
• <span class="miseenevidence">Modification non désirée de données</span> (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès)
• <span class="miseenevidence">Disparition de données</span> (ex : non-détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).

Le responsable du traitement doit identifier les <span class="miseenevidence">sources de risques</span> en prenant en compte des sources humaines (ex : administrateur informatique, utilisateur, attaquant externe, concurrent) et non humaines (ex : eau, épidémie, matériaux dangereux, virus informatique non ciblé).

Il doit également <span class="miseenevidence">estimer la gravité et la vraisemblance des risques</span> (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale) pour ainsi <span class="miseenevidence">déterminer les mesures</span> à même de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).

Sensibiliser les utilisateurs

Le responsable du traitement doit <span class="miseenevidence">sensibiliser</span> les <a href="https://stmeen-montauban.fr/entreprise/?xml=R67488">utilisateurs</a> sur les enjeux en matière de sécurité et de vie privée. Pour ce faire, il peut organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les personnes selon leurs fonctions, faire des rappels par messagerie électronique, etc.

Le responsable doit <span class="miseenevidence">documenter les procédures d’exploitation,</span> les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données personnelles, qu’il s’agisse d’une opération d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.

De plus, il doit <span class="miseenevidence">rédiger une charte informatique</span>, annexée au <a href="https://stmeen-montauban.fr/entreprise/?xml=F1905">règlement intérieur</a>, comportant les informations suivantes :

• Règles de protection des données et sanctions encourues en cas de manquement
• Champ d'application de la charte (ex : modalités d'intervention des équipes chargées de la gestion des données, moyens d'authentification, règles de sécurité)
• Modalités d’utilisation des moyens informatiques mis à disposition (poste de travail, espace de stockage, accès à internet, messagerie électronique...)
• Conditions d’administration du système d’information
• Responsabilités et sanctions encourues en cas de non respect de la charte.

<span class="miseenevidence">Modèle d'engagement de confidentialité sur les données</span>

Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée « la Société »), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare

reconnaître la confidentialité desdites données.

Je m’engage par conséquent, conformément à l’article 32 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions

afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.

Je m’engage en particulier à :

• ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;
• ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
• ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;
• prendre toutes les mesures conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
• prendre toutes précautions conformes à l’état de l’art et aux règles internes pour préserver la sécurité physique et logique de ces données ;
• m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
• en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée, après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation

et la communication de données à caractère personnel.

J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la règlementation en vigueur, notamment au regard des articles 226-13 et 226-16 à 226-24 du code pénal.

Fait à _____, le jj/mm/aaaa, en X exemplaires

Nom :

Signature :

Authentifier les utilisateurs

Pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un <span class="miseenevidence">identifiant qui lui est propre</span> et doit <span class="miseenevidence">s’authentifier</span> avant toute utilisation des moyens informatiques.

Une précaution indispensable consiste à <span class="miseenevidence">définir un identifiant unique par utilisateur</span> et interdire les comptes partagés entre plusieurs utilisateurs. Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, il est nécessaire de mettre œuvre les mesures suviantes :

• Exiger une validation de la hiérarchie
• Mettre en œuvre des moyens pour tracer les actions associées à ces identifiants
• Renouveler le mot de passe dès qu’une personne n’a plus besoin d’accéder au compte.

Gérer l'habilitation des utilisateurs

Le responsable du traitement doit <span class="miseenevidence">gérer l'habilitation des utilisateurs</span> afin de limiter leur accès aux seules données dont ils ont besoin pour l’accomplissement de leurs missions.

Le responsable est d'abord amené à <span class="miseenevidence">définir des profils d’habilitation </span>dans les systèmes en séparant les tâches et les domaines de responsabilité et <span class="miseenevidence">faire valider toute demande d’habilitation</span> par un responsable (ex : supérieur hiérarchique, chef de projet).

Il est impératif de <span class="miseenevidence">supprimer les permissions d’accès</span> des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique (ex : changement de mission ou de poste), ainsi qu’à la fin de leur contrat.

Tracer les opérations

Le responsable du traitement doit également <span class="miseenevidence">tracer les opérations</span> afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité).

Pour ce faire, il est nécessaire de mettre en place <span class="miseenevidence">un système de journalisation</span>, c’est-à-dire un enregistrement des activités métier des utilisateurs, des interventions techniques (y compris par les administrateurs), des anomalies et des événements liés à la sécurité.

Le responsable du traitement doit s’assurer que les gestionnaires de l'enregistrement des opérations lui notifient toute anomalie ou tout incident de sécurité, dans les plus brefs délais.

Sécuriser les postes de travail et l'informatique mobile

Les risques d’intrusion dans les systèmes informatiques sont importants. Le responsable du traitement doit <span class="miseenevidence">protéger les postes de travail</span> qui constituent un des principaux points d’entrée.

Afin de prévenir les accès frauduleux, l’exécution de virus ou les prises de contrôle malveillantes à distance, le responsable du traitement doit prendre les <span class="miseenevidence">précautions suivantes</span> :

• Prévoir un mécanisme de <span class="miseenevidence">verrouillage automatique de session </span>en cas de non-utilisation du poste pendant un temps donné
• Installer un <span class="miseenevidence">« pare-feu » </span>(« firewall ») logiciel sur le poste et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail
• Utiliser des <span class="miseenevidence">antivirus régulièrement mis à jour </span>et prévoir une politique de <span class="miseenevidence">mise à jour régulière des logiciels</span>
• Effacer de façon sécurisée les données présentes sur un poste <span class="miseenevidence">avant sa réaffectation</span> à une autre personne.

Les pratiques de travail hors des locaux (ex : déplacements, télétravail) comportent des risques spécifiques liés à l’usage d’ordinateurs portables, de clés USB ou encore de smartphones. Il est donc indispensable d'anticiper l’atteinte à la sécurité des données <span class="miseenevidence">à l'extérieur des locaux</span>.

Le responsable du traitement doit <span class="miseenevidence">sensibiliser les utilisateurs</span> aux risques spécifiques liés à l’utilisation d’outils informatiques mobiles (ex : vol de matériel, risques liés à la connexion aux réseaux publics) et <span class="miseenevidence">imposer l'utilisation d'un VPN</span> à authentification forte.

Il est également recommandé de <span class="miseenevidence">prévoir des moyens de chiffrement</span> des postes nomades et des supports de stockage mobiles (ex : ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW), tels que :

• Le chiffrement du disque dur (de nombreux systèmes d'exploitation intègrent une telle fonctionnalité)
• Le chiffrement fichier par fichier
• La création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés.

Sauvegarder et archiver les données

Le responsable du traitement doit <span class="miseenevidence">effectuer des sauvegardes régulières</span> pour limiter l’impact d’une disparition ou d'une altération non désirée de données. Il est également recommandé de stocker au moins une <span class="miseenevidence">sauvegarde sur un site extérieur</span> et d'isoler une <span class="miseenevidence">sauvegarde hors ligne</span>, déconnectée du réseau de l'entreprise.

Par ailleurs, le responsable doit <span class="miseenevidence">archiver les données qui ne sont plus utilisées au quotidien</span> mais qui n’ont pas encore atteint leur durée limite de conservation, par exemple parce qu’elles sont conservées afin d’être utilisées en cas de litige.

Pour ce faire, il doit définir un processus de gestion des archives qui appelent plusieurs questions, notamment :

• Quelles données doivent être archivées ?
• Comment et où sont-elles stockées ?
• Quelles sont les modalités d’accès spécifiques aux données archivées ? (l’utilisation d’une archive doit intervenir de manière ponctuelle et exceptionnelle)
• S’agissant de la destruction des archives, quel mode opératoire faut-il choisir pour garantir que l’intégralité d’une archive a été détruite ?

Gérer la sous-traitance

Les traitements de données réalisés par un sous-traitant pour le compte du responsable de traitement doivent bénéficier de garanties suffisantes, notamment en matière de sécurité.

Il est impératif de faire appel uniquement à des <span class="miseenevidence">sous-traitants présentant des garanties suffisantes</span>, notamment en termes de connaissances spécialisées, de fiabilité et de ressources. Le responsable doit exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information et de ses éventuelles certifications.

Un contrat de sous-traitance doit définir l’objet, la durée, la finalité du traitement ainsi que les obligations des parties, notamment en termes de sécurité des traitements. Il doit contenir des dispositions fixant les éléments suivants :

• Répartition des responsabilités et des obligations en matière de<span class="miseenevidence"> confidentialité des données personnelles</span> confiées
• <span class="miseenevidence">Contraintes minimales en matière d’authentification</span> des utilisateurs
• <span class="miseenevidence">Conditions de restitution et de destruction des données</span> en fin du contrat
• <span class="miseenevidence">Règles de gestion et de notification des incidents</span>. Celles-ci doit comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité.

Évaluer la sécurité des données

Les mesures permettant de garantir la sécurité des données étant nombreuses, il est opportun d'<span class="miseenevidence">évaluer le niveau de sécurité des données personnelles</span> de l'entreprise. La CNIL met à disposition une <a href="https://www.cnil.fr/sites/cnil/files/2023-08/guide_securite_donnees_personnelles-checklist.pdf" target="_blank">grille d'évaluation</a>.

Les mesures techniques et organisationnelles mises en œuvre par le responsable de traitement doivent être <span class="miseenevidence">appropriées</span>, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (dont le degré de probabilité et de gravité varie) pour les droits et libertés des personnes.

En cas de violation de données (ex : divulgation non autorisée, accès irrégulier), le responsable de traitement doit être <span class="miseenevidence">en mesure de prouver</span> qu'il a pris les mesures de sécurité adéquates.

Le responsable de traitement peut <span class="miseenevidence">recourir à un sous-traitant</span> chargé de traiter les données personnelles pour son compte.

Il peut s'agir d'un prestataire de service informatique (ex : hébergement, maintenance), d'une entreprise de sécurité informatique voire d'une agence de marketing ou de communication traitant les données personnelles pour le compte du responsable de traitement.

Pour encadrer leur relation, le responsable de traitement et son sous-traitant doivent conclure un <span class="miseenevidence">contrat de sous-traitance</span>.

Quelles mentions doivent figurer dans le contrat ?

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant les <span class="miseenevidence">mentions obligatoires suivantes</span> :

• Objet du contrat, c'est-à-dire l'activité du sous-traitant (ex : hébergement de données, routage d'emails, maintenance)
• Nature, finalité et durée du traitement
• Type de données personnelles collectées et catégories de personnes concernées
• Obligations et droits du responsable du traitement
• Obligations et droits du sous-traitant.

Pour faciliter la rédaction de ce contrat, les parties peuvent y insérer certaines <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32021D0915" target="_blank">clauses contractuelles types (CCT)</a> rédigées par la Commission européenne. Elles fournissent un support utile pour encadrer la sous-traitance conformément aux exigences du RGPD.

Quelles sont les obligations du sous-traitant ?

Le sous-traitant doit respecter les <span class="miseenevidence">obligations suivantes</span> :

• Assurer un niveau de sécurité suffisant au regard de la nature des données traitées
• Conseiller le responsable de traitement (ex : l'alerter s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable)
• Aider le responsable de traitement à garantir les droits des personnes (accès, rectification, effacement, portabilité)
• Formaliser à l'écrit les instructions délivrées par le responsable de traitement
• Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement
• Tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits
• Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité.

<span class="miseenevidence">Registre tenu par le sous-traitant</span>

Le sous-traitant doit <span class="miseenevidence">tenir son propre registre</span>, recensant toutes les catégories d'activité de traitement effectuées pour le compte de ses clients (ex : hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale).

En pratique, une fiche de registre doit être établie pour chacune de ces catégories d’activités. Chaque fiche de registre doit contenir les <span class="miseenevidence">éléments suivants</span> :

• Identité du sous-traitant, de son représentant en cas d'établissement hors UE, de son délégué à la protection de données ainsi que les sous-traitants auxquels il a lui-même recours
• Catégories de traitements effectués pour le compte de chacun de ses clients, c’est-à-dire les opérations effectivement réalisées pour leur compte. Par exemple, pour la catégorie « <span class="expression">service d’envoi de messages de prospection</span> », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
• Description générale des mesures de sécurité des données
• Le cas échéant, transfert des données vers un pays hors de l'<a href="https://stmeen-montauban.fr/entreprise/?xml=R41270">UE</a>.

Le sous-traitant peut-il recourir lui-même à un sous-traitant ?

Le sous-traitant doit <span class="miseenevidence">obtenir l'autorisation écrite</span> du responsable de traitement avant de recruter un autre sous-traitant. Cette autorisation peut être donnée au sous-traitant <span class="miseenevidence">au cas par cas</span> pour chaque nouveau sous-traitant, ou avoir une <span class="miseenevidence">portée générale</span>.

La CNIL recommande de préciser dans le contrat laquelle de ces 2 modalités d’autorisation est choisie par les parties.

Si l’autorisation a une portée générale, le sous-traitant doit communiquer au responsable de traitement de la <span class="miseenevidence">liste de ses sous-traitants ultérieurs</span>, ainsi que tout ajout ou remplacement dans cette liste pour lui permettre de s'y opposer s’il le souhaite. Dans ce cas, la Cnil recommande de formaliser les modalités d’information du responsable de traitement et, éventuellement, les critères du choix de ces sous-traitants.

Les entreprises réalisant des traitement de données à grande échelle doivent désigner un <span class="miseenevidence">délégué à la protection des données</span>, appelé le plus souvent « <span class="expression">data protection officer (DPO) »</span> en anglais. Le DPO est chargé d'<span class="miseenevidence">assurer la protection des données personnelles</span> collectées et traitées par l'entreprise qui l'emploie.

La désignation d'un DPO est-elle obligatoire ?

La désignation d’un DPO par l'entreprise est <span class="miseenevidence">obligatoire</span> dans <span class="miseenevidence">les 2 cas suivants</span> :

• Les activités principales de l'entreprise ou du sous-traitant impliquent un <span class="miseenevidence">suivi régulier et systématique à grande échelle</span> des personnes concernées par les opérations de traitement (ex : géolocalisation, vidéosurveillance, traitement des échanges bancaires).
• Les activités principales de l'entreprise ou du sous-traitant impliquent un <span class="miseenevidence">traitement à grande échelle de <a href="https://stmeen-montauban.fr/entreprise/?xml=R67759">données sensibles</a></span> ou relatives à des condamnations pénales.

La notion de traitement « <span class="miseenevidence">à grande échelle</span> » s'analyse au cas par cas, en fonction du nombre de personnes concernées, du volume et de l'éventail des différentes données collectées, de la durée de l'activité de traitement et de la répartition géographique de l'activité de traitement.

Quelles sont les missions du DPO ?

Les missions du délégué à la protection des données sont les suivantes :

• <span class="miseenevidence">Informer et conseiller</span> le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent
• <span class="miseenevidence">Contrôler</span> le respect du RGPD et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement
• <span class="miseenevidence">Dispenser des conseils et recommandations</span>, sur demande, sur un sujet précis en lien avec le traitement des données personnelles
• <span class="miseenevidence">Coopérer avec la <a href="https://stmeen-montauban.fr/entreprise/?xml=R34268">Cnil</a></span> et faire office de point de contact sur les questions relatives au traitement.

Comment choisir et désigner le DPO ?

Le responsable de traitement peut désigner un DPO <span class="miseenevidence">en interne</span> ou un <span class="miseenevidence">prestataire externe</span> proposant ses services de DPO. Il doit s’assurer que le DPO dispose de <span class="miseenevidence">connaissances spécialisées</span> du droit et des pratiques en matière de protection des données. Il doit prendre en compte les formations suivies par la personne pressentie, ainsi que son <span class="miseenevidence">expérience</span> et sa connaissance du secteur.

La <a href="https://stmeen-montauban.fr/entreprise/?xml=R34268">Cnil</a> a mis en place une <span class="miseenevidence">procédure de certification</span> des compétences du DPO. La procédure n'est <span class="miseenevidence">pas obligatoire</span> mais permet au DPO l'ayant suivie de justifier qu'il répond aux exigences de compétences. Les certifications sont délivrées par des organismes certificateurs agréés par la CNIL.

Lorsqu'il a choisi le DPO de l'entreprise, le responsable de traitement doit remplir le <span class="miseenevidence">formulaire de désignation en ligne</span> pour en informer la CNIL.

Quelles sont les conditions d'exercice de la fonction de DPO ?

Le responsable du traitement doit permettre au DPO d’exercer ses missions de contrôle, de conseil et de point de contact <span class="miseenevidence">en toute indépendance</span>. L'indépendance doit être garantie de la manière suivante :

• Le DPO ne doit pas être en situation de conflit d’intérêts en cas de cumul de sa fonction de DPO avec une autre fonction. Par exemple, il y a conflit d'intérêts lorsque le DPO se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.
• Le DPO doit pouvoir rendre compte de son action au plus haut niveau de la direction de l'entreprise
• Le DPO ne pas être sanctionné pour l'exercice de ses missions de DPO
• Le DPO ne doit pas recevoir d’instruction dans le cadre de l’exercice de ses missions de DPO.

De plus, le DPO doit disposer du temps suffisant ainsi que des <span class="miseenevidence">moyens matériels et humains adéquats</span> pour exercer sa mission. Il doit bénéficier du soutien actif de la direction et être <span class="miseenevidence">associé en amont à tous les projets</span> impliquant des données personnelles.

Que risque l'entreprise qui ne désigne pas de DPO ?

Une entreprise qui ne désigne pas DPO lorsque cette désignation est obligatoire s’expose aux <span class="miseenevidence">sanctions de la Cnil</span> :

• Rappel à l’ordre
• Injonction à se mettre en conformité
• Amende administrative pouvant s’élever jusqu’à <span class="miseenevidence">10 millions d’euros</span> ou <span class="valeur">2 %</span> <span class="miseenevidence">du chiffre d’affaires annuel</span> mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Pour s’assurer de la conformité de son traitement au RGPD, l'entreprise peut être amenée à réaliser une <span class="miseenevidence">analyse d'impact relative à la protection des données (AIPD)</span>. Cette procédure permet d’évaluer à la fois les risques encourus et la manière dont ils peuvent être maîtrisés.

L'analyse d'impact est-elle obligatoire ?

La réalisation d'une analyse d'impact est <span class="miseenevidence">obligatoire</span> lorsque le traitement de données présente un <span class="miseenevidence">risque élevé pour les droits et libertés</span> des personnes concernées, c'est-à-dire :

• Soit le traitement figure dans la <a href="https://www.cnil.fr/sites/cnil/files/atoms/files/liste-traitements-aipd-requise.pdf" target="_blank">liste des traitements</a> pour lesquels la CNIL a estimé obligatoire de réaliser une analyse d’impact.
• Soit le traitement remplit au moins <span class="miseenevidence">2 des critères suivants</span> :

L'AIPD doit être menée <span class="miseenevidence">avant la mise en œuvre du traitement</span>. Elle doit être démarrée le plus en amont possible et sera mise à jour tout au long du cycle de vie du traitement.

Que doit contenir l'analyse d'impact ?

L'analyse d'impact doit contenir au minimum les <span class="miseenevidence">informations suivantes</span> :

• <span class="miseenevidence">Description</span> systématique des <span class="miseenevidence">opérations de traitement</span> envisagées et les<span class="miseenevidence"> finalités</span> du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement
• <span class="miseenevidence">Évaluation de la nécessité</span> et de la <span class="miseenevidence">proportionnalité</span> des opérations de traitement au regard des finalités
• <span class="miseenevidence">Évaluation des risques</span> sur les droits et libertés des personnes concernées
• <span class="miseenevidence">Mesures envisagées</span> pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données personnelles et à apporter la preuve du respect du règlement.

Le responsable du traitement doit ensuite <span class="miseenevidence">transmettre l'analyse d'impact à la Cnil </span>au moyen du service en ligne suivant :

Quelles sanctions en l'absence d'analyse d'impact ?

Une entreprise qui ne réalise pas d'analyse d'impact s’expose aux <span class="miseenevidence">sanctions de la Cnil</span> :

• Rappel à l’ordre
• Injonction à se mettre en conformité
• Amende administrative pouvant s’élever jusqu’à <span class="miseenevidence">10 millions d’euros</span> ou <span class="valeur">2 %</span> <span class="miseenevidence">du chiffre d’affaires annuel</span> mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Le transfert de données hors de l'UE consiste pour une entreprise à envoyer des données personnelles qu'elle a collectées <span class="miseenevidence">vers un pays non membre de l'<a href="https://stmeen-montauban.fr/entreprise/?xml=R41270">Union européenne (UE)</a></span>.

Le plus souvent, un transfert de données hors UE a lieu dans les <span class="miseenevidence">2 cas suivants</span> :

• <span class="miseenevidence">L'entreprise a recours à un sous-traitant établi hors de l'UE</span> (ex : un hébergeur de données établi aux États-Unis)
• <span class="miseenevidence">Les entreprises d'un même groupe échangent des données</span> (ex : la filiale française envoie les données personnelles de ses salariés au siège du groupe situé au Japon).

À quelles conditions les données peuvent-elles être transférées hors UE ?

Pour qu'un transfert de données hors de l'UE soit autorisé, le pays recevant les données doit faire l'objet d'une <span class="miseenevidence">décision d'adéquation</span>.

Il s'agit d'une décision adoptée par la Commission européenne qui établit qu’un pays tier présente un <span class="miseenevidence">niveau de protection adéquat</span> des données personnelles. La Commission évalue ce niveau de protection à partir d'éléments fixés par le RGPD (ex : la législation interne du pays, l’existence d’une autorité de contrôle indépendante en matière de protection des données et les engagements internationaux pris par le pays).

La décision d’adéquation a pour effet de permettre le transfert de données vers le pays concerné, <span class="miseenevidence">sans exigences supplémentaires</span>.

En l’absence de décision d'adéquation, le responsable de traitement doit mettre en place des « <span class="miseenevidence">garanties appropriées</span> » avant de transférer les données hors de l'UE. Il peut s'agir des garanties suivantes :

• Conclure un contrat incluant des <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32021D0914" target="_blank">clauses contractuelles types (CCT)</a> de la Commission européenne. Ces clauses fournissent un support utile pour encadrer le transfert hors UE, conformément aux exigences du RGPD.
• Établir des <span class="miseenevidence">règles d'entreprise contraignantes</span> (<span class="expression">Binding Corporate Rules (BCR)</span> en anglais). Pour les multinationales effectuant de nombreux transfert de données, ces règles désignent une politique de protection des données intra-groupe permettant d’unifier les garanties concernant les traitements de données personnelles offertes par leurs filiales dans le monde entier.
• Adhérer à un <span class="miseenevidence">code de conduite</span>. Le code est un outil mis en place par une organisation représentative d’un secteur d’activité. Il met en lumière les bonnes pratiques du secteur avec, par exemple, des mentions d’information type, des modèles de clauses contractuelles ou des préconisations en matière de mesures de sécurité, dans un vocabulaire adapté au secteur. Le code est juridiquement contraignant pour ses adhérents.

Quelles dérogations permettent de transférer les données hors UE ?

En l’absence de décision d'adéquation ou de garanties appropriées, le transfert peut être réalisé <span class="miseenevidence">par dérogation</span>, dans des situations particulières :

• La personne concernée a donné son <span class="miseenevidence">consentement</span> <span class="miseenevidence">explicite </span>au transfert envisagé, <span class="miseenevidence">après avoir été informée des risques que ce transfert pouvait comporter pour elle</span>
• Le transfert est <span class="miseenevidence">nécessaire à l'exécution d'un contrat</span> entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande
• Le transfert est <span class="miseenevidence">nécessaire à la conclusion ou à l'exécution d'un contrat</span> <span class="miseenevidence">conclu dans l'intérêt de la personne concernée</span> entre le responsable du traitement et une autre personne physique ou morale
• Le transfert est nécessaire pour des <span class="miseenevidence">motifs importants d'intérêt public</span>
• Le transfert est nécessaire à <span class="miseenevidence">la constatation, à l'exercice ou à la défense de droits en justice</span>
• Le transfert est <span class="miseenevidence">nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes</span>, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement
• Le transfert a lieu <span class="miseenevidence">au départ d'un registre</span> qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

<span class="miseenevidence">Transfert hors UE lorsqu'aucune situation particulière n'est applicable</span>

Lorsqu'aucune de ces situations n'est applicable, un transfert vers un pays tier est tout de même autorisé <span class="miseenevidence">si les conditions suivantes sont respectées</span> :

• Le transfert n'a pas un caractère répétitif et ne touche qu'un nombre limité de personnes concernées
• Le transfert est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée
• Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données personnelles.