RGPD : points de vigilance


Les données personnelles sont au cœur de votre modèle économique, vous mettez en place des services innovants et/ou basés sur l’exploitation massive de données personnelles, vous traitez des données sensibles ou des données concernant des personnes vulnérables ?

Vous devrez peut-être prendre des mesures supplémentaires. Une analyse approfondie de la règlementation est nécessaire pour déterminer les mesures à mettre en œuvre.

Les points de vigilance

Certaines données ou certains types de traitements nécessitent une vigilance particulière.

  • Lorsque vous traitez certains types de données à risque :

Sont notamment concernées les données dites « sensibles » :

  • révélant l’origine prétendument raciale ou ethnique ;
  • portant sur les opinions politiques, philosophiques ou religieuses ;
  • relatives à l’appartenance syndicale ;
  • concernant la santé ou l’orientation sexuelle ;
  • génétiques ou biométriques.

Les données d’infraction ou de condamnation pénale font également l’objet de règles particulières.

  • Lorsque votre traitement a pour objet ou pour effet :

  • L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier) ;
  • Une prise de décision automatisée ;
  • La surveillance systématique de personnes (exemple : télésurveillance) ;
  • Le traitement de données sensibles (exemple : santé, biométrie, etc.) ;
  • Le traitement de données concernant des personnes vulnérables (exemple : mineurs).
  • Le traitement à grande échelle de données personnelles ;
  • Le croisement d’ensembles de données ;
  • Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
  • L’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).

Si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez a priori conduire une l'analyse d’impact relative à la protection des données (DPIA), avant de commencer les opérations de traitement.

En complément de l’établissement du registre et de la description du traitement, cette analyse de l’impact sur la vie privée vous permettra d’identifier les risques associés à ces données personnelles. Il ne s’agit donc pas du même travail.

Pour en savoir plus : Dossier Analyse d’impact relative à la protection des données (DPIA) de la CNIL

Lorsque vous transférez des données en dehors de l'Union européenne

Vérifiez si le pays hors UE vers lequel vous transférez les données dispose d’une législation de protection des données et si elle est reconnue adéquate par la Commission européenne.

Appuyez-vous sur la carte du monde présentant les législations de protection des données.

Sinon, vous devrez encadrer juridiquement vos transferts pour assurer la protection des données à l’étranger.

Pour en savoir plus : Dossier Transférer des données hors de l’UE.

Si votre situation correspond à l’un ou à plusieurs de ces points de vigilance, une analyse approfondie du RGPD et de la loi Informatique et Libertés est nécessaire pour déterminer les mesures à mettre en œuvre.

Il est alors utile de se faire accompagner !

Qui contacter pour se faire aider ?

Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données. Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers. Dans les autres cas, la désignation d’un délégué est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.

Le délégué peut être désigné en interne, parmi vos collaborateurs. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.

Pour en savoir plus : Dossier Le Délégué à la protection des données

Si vos traitements de données sont susceptibles d’engendrer des risques spécifiques ou des problématiques nouvelles au regard de la protection des données, n’hésitez pas à vous informer auprès de la CNIL (modalités de contact).

Par ailleurs, vos sous-traitants ont une obligation d’alerte et de conseil en matière de protection des données. N’hésitez-pas à les solliciter.