SERVICES IT
ACCOMPAGNEMENT
RGPD - DPO
CONSEILS EN
TECHNOLOGIES
DIGITALES
SERVICES IT
ACCOMPAGNEMENT
RGPD - DPO
CONSEILS EN
TECHNOLOGIES
DIGITALES
Le RGPD, questionnaire d'Audit
Faites vous-même ce mini questionnaire d'Audit en ligne pour estimer vos connaissances en matière de RGPD. Il y a 17 questions, avec leurs réponses, relatives à nouvelle règlementation.
Ce test et sans engagement et totalement anonyme. Démarrez maintenant !
Ce test et sans engagement et totalement anonyme. Démarrez maintenant !
Questionnaire d'Audit RGPD
1) Ma structure (entreprise) est située ?
En Suisse
Dans l'Union Européenne
Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).
Si ce n'est pas le cas, il faut savoir que presque toutes les entreprises sont appelées à s’adapter, car la Suisse se dotera bientôt de sa propre Loi révisée sur la protection des données, similaire à la version européenne. Il convient donc de s'y conforter dès maintenant.
Si ce n'est pas le cas, il faut savoir que presque toutes les entreprises sont appelées à s’adapter, car la Suisse se dotera bientôt de sa propre Loi révisée sur la protection des données, similaire à la version européenne. Il convient donc de s'y conforter dès maintenant.
Question suivante…
Le RGPD vous concerne. Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).
Question suivante…
2) Ma structure (entreprise) détient-elle des données personnelles ?
OUI
NON
Elle en détient forcément, puisque la seule exception à l’application du RGPD concerne les données de votre répertoire téléphonique personnel. En effet, le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen. À titre d’exemple, un nom, prénom, adresse e-mail, photo, numéro de sécurité sociale sont des données personnelles (de surcroît cette dernière est considérée comme sensible) puisqu’il est unique et permet d’identifier un individu de manière certaine.
Question suivante…
3) Sous quelle forme sont détenues ces informations ?
a) sur des fichiers papier
b) sur les fichiers informatisés
c) les deux
Le RGPD s’applique à tous les modes de traitement, sans lien avec le support. Le simple fait de stocker des dossiers imprimés (comme les dossiers des clients), constitue un ensemble structuré de données qui sont donc concernées par le RGPD. Il en va de même, par exemple, pour les données concernant les salariés (dossiers liés aux ressources humaines tels que les contrats signés, les entretiens professionnels ou annuels).
Question suivante…
4) Les données personnelles déjà stockées sont-elles toutes complètement anonymisées (cryptées) ?
a) oui
b) non
c) ne sais pas
Dans votre cas, le RGPD ne s’applique pas, puisque l’on considère que par cette procédure les données sont déjà protégées. Cependant, il convient de vérifier qu’il s’agit bien de données «anonymisées» et non «pseudonymisées».
La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
Question suivante…
Le RGPD s’applique donc à ces données. Sinon il conviendra bien d’«anonymiser» les données et non les «pseudonymiser». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
Question suivante…
Il convient de procéder à une analyse afin de le vérifier. De surcroît, il conviendra bien d’« anonymiser » les données et non les « pseudonymiser ». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
Question suivante…
5) Pensez-vous qu'il existe un lien entre l’application du RGPD et la forme juridique de votre structure ?
Oui
Non
Non. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).
Question suivante…
Exact. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).
Question suivante…
6) L’application du RGPD dépend -elle du nombre de salariés présents dans ma structure ?
Oui
Non
Non. Le RGPD ne prévoit pas de seuil en la matière, mais les structures de moins de 250 salariés ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles (dénommé DPD pour délégué à la protection des données ou DPO pour Data Protection Officer) sauf en cas de suivi régulier à grande échelle de données personnelles.
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».
Question suivante…
Effectivement, il n’y a pas de seuil. Toutefois, les plus petites structures (moins de 250 salariés) ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles) sauf en cas de suivi régulier à grande échelle de données personnelles).
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».
Question suivante…
PROCESSUS CONFORMITÉ ET SÉCURITÉ DES TRAITEMENTS
7) Suis-je obligé de désigner un Délégué à la Protection des Données (DPD ou plus régulièrement désigné DPO pour Data Protection Officer) ?
7) Suis-je obligé de désigner un Délégué à la Protection des Données (DPD ou plus régulièrement désigné DPO pour Data Protection Officer) ?
Oui
Non
Seulement si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le choix d’un DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire.
Question suivante…
Cela peut être le cas si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire
Question suivante…
8) Le dirigeant est-il exempté de toute responsabilité avec la désignation d’un DPO ?
Oui
Non
En aucun cas. Le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.
Question suivante…
Effectivement, le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.
Question suivante…
9) Dois-je limiter l’accès aux données personnelles détenues par la structure aux seuls salariés ?
Oui
Non
Sur le principe, l’accès doit être encore plus restreint. L’accès doit dépendre des objectifs poursuivis et dans tous les cas, il convient, même dans de petites structures d’établir un cloisonnement en interne en choisissant les personnes habilitées en fonction des tâches à exécuter. A contrario, certaines personnes extérieures à la structure peuvent être amenées à à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). La plupart du temps, seuls le service (ou le responsable) des ressources humaines ou encore le service financier ont accès aux données des salariés. Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.
Question suivante…
Il doit être limité au sein de la structure (la plupart du temps, seuls les services financiers et des ressources humaines ont accès aux données) mais certaines personnes extérieures peuvent être amenées à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.
Question suivante…
10) La sécurisation des données personnelles passe-t-elle par une protection « physique » des locaux ?
Oui
Non
Effectivement, la protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).
Question suivante…
C’est faux. La protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).
Question suivante…
RGPD ET RESPONSABILITÉ
11) En tant que dirigeant, pensez-vous être responsable du traitement des données ?
11) En tant que dirigeant, pensez-vous être responsable du traitement des données ?
Oui
Non
Bien entendu, le dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.
Question suivante…
Vous l’êtes. Tout dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.
Question suivante…
12) Les données personnelles liées à ma structure sont traitées par un tiers ?
Oui
Non
Toute structure est responsable des données personnelles qu’elle collecte ou qu’elle utilise. En revanche, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.
Question suivante…
Vous êtes donc pleinement responsable des données personnelles collectées et traitées. Le cas échéant, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.
Question suivante…
LE RGPD ET LES RELATIONS CLIENT
13) Dois-je recueillir systématiquement l’accord préalable du client avant de collecter des données le concernant ?
13) Dois-je recueillir systématiquement l’accord préalable du client avant de collecter des données le concernant ?
Oui
Non
Dans le doute, il s’agit de la bonne démarche (c’est la règle de principe que met en place le RGPD). Cependant, il existe des exceptions comme notamment lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale (par exemple, à l’établissement ou à l’exécution d’un contrat auquel la personne est partie).
Question suivante…
Il est indispensable de le faire pour être en adéquation avec le RGPD. Seuls des cas particuliers échappent à cette règle de principe. Par exemple, lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale, comme pour l’établissement ou à l’exécution d’un contrat auquel la personne est partie.
Question suivante…
14) Dois-je simplement informer les personnes dont les données sont collectées en me limitant à l’existence de cette collecte
Oui
Non
En aucun cas. La personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? à quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.
Question suivante…
Effectivement, la personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? À quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.
Question suivante…
15) Ma structure communique, entre autres, par liste de diffusion ou newletters
Oui
Non
Selon le RGPD, une newsletter ou liste de diffusion est un traitement de données personnelles. Son envoi est donc soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newletter).
Question suivante…
Si cela est envisagé, il conviendra de se conformer au RGPD.
Son envoi sera soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newsletter).
Son envoi sera soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newsletter).
Question suivante…
16) Ma structure fait de la prospection (notamment du mailing)
Oui
Non
La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée. Il convient donc de prévoir un processus, aisément accessible, permettant de mettre fin au démarchage.
Question suivante…
Si cela est envisagé, il conviendra de se conformer au RGPD. La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée.
Question suivante…
17) Ma structure organise des évènements ouverts à mes clients ou mes prospects
Oui
Non
Toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles, il convient d’en assurer un traitement en adéquation avec le RGPD.
Fin du questionnaire d'Audit !
Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
Prenez contact avec nous pour en savoir plus sur notre approche !
Recevez, sans engagement, plus de détails sur notre offre et notre approche.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Alrix Consulting pour la gestion de notre clientèle
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
Si cela est envisagé, il conviendra de se conformer au RGPD car toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles.
Fin du questionnaire d'Audit !
Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
Prenez contact avec nous pour en savoir plus sur notre approche !
Recevez, sans engagement, plus de détails sur notre offre et notre approche.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Alrix Consulting pour la gestion de notre clientèle
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
Faites vous-même ce mini questionnaire d'Audit en ligne pour estimer vos connaissances en matière de RGPD. Il y a 17 questions, avec leurs réponses, relatives à nouvelle règlementation.
Ce test et sans engagement et totalement anonyme. Démarrez maintenant !
Ce test et sans engagement et totalement anonyme. Démarrez maintenant !
Questionnaire d'Audit RGPD
1) Ma structure (entreprise) est située ?
- En Suisse (en dehors de UE)
- Dans l'Union Européenne
Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).
Si ce n'est pas le cas, il faut savoir que presque toutes les entreprises sont appelées à s’adapter, car la Suisse se dotera bientôt de sa propre Loi révisée sur la protection des données, similaire à la version européenne. Il convient donc de s'y conforter dès maintenant.
Si ce n'est pas le cas, il faut savoir que presque toutes les entreprises sont appelées à s’adapter, car la Suisse se dotera bientôt de sa propre Loi révisée sur la protection des données, similaire à la version européenne. Il convient donc de s'y conforter dès maintenant.
Question suivante…
Le RGPD vous concerne. Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).
Question suivante…
2) Ma structure (entreprise) détient-elle des données personnelles ?
OUI
NON
Elle en détient forcément, puisque la seule exception à l’application du RGPD concerne les données de votre répertoire téléphonique personnel. En effet, le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen. À titre d’exemple, un nom, prénom, adresse e-mail, photo, numéro de sécurité sociale sont des données personnelles (de surcroît cette dernière est considérée comme sensible) puisqu’il est unique et permet d’identifier un individu de manière certaine.
Question suivante…
3) Sous quelle forme sont détenues ces informations ?
a) sur des fichiers papier
b) sur les fichiers informatisés
c) les deux
Le RGPD s’applique à tous les modes de traitement, sans lien avec le support. Le simple fait de stocker des dossiers imprimés (comme les dossiers des clients), constitue un ensemble structuré de données qui sont donc concernées par le RGPD. Il en va de même, par exemple, pour les données concernant les salariés (dossiers liés aux ressources humaines tels que les contrats signés, les entretiens professionnels ou annuels).
Question suivante…
4) Les données personnelles déjà stockées sont-elles toutes complètement anonymisées (cryptées) ?
a) oui
b) non
c) ne sais pas
Dans votre cas, le RGPD ne s’applique pas, puisque l’on considère que par cette procédure les données sont déjà protégées. Cependant, il convient de vérifier qu’il s’agit bien de données «anonymisées» et non «pseudonymisées».
La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
Question suivante…
Le RGPD s’applique donc à ces données. Sinon il conviendra bien d’«anonymiser» les données et non les «pseudonymiser». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
Question suivante…
Il convient de procéder à une analyse afin de le vérifier. De surcroît, il conviendra bien d’« anonymiser » les données et non les « pseudonymiser ». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).
Question suivante…
5) Pensez-vous qu'il existe un lien entre l’application du RGPD et la forme juridique de votre structure ?
Oui
Non
Non. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).
Question suivante…
Exact. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).
Question suivante…
6) L’application du RGPD dépend -elle du nombre de salariés présents dans ma structure ?
Oui
Non
Non. Le RGPD ne prévoit pas de seuil en la matière, mais les structures de moins de 250 salariés ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles (dénommé DPD pour délégué à la protection des données ou DPO pour data protection officer) sauf en cas de suivi régulier à grande échelle de données personnelles.
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas « écrit » mais qui peut prendre une forme « électronique ».
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas « écrit » mais qui peut prendre une forme « électronique ».
Question suivante…
Effectivement, il n’y a pas de seuil. Toutefois, les plus petites structures (moins de 250 salariés) ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles) sauf en cas de suivi régulier à grande échelle de données personnelles).
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas « écrit » mais qui peut prendre une forme « électronique ».
Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas « écrit » mais qui peut prendre une forme « électronique ».
Question suivante…
PROCESSUS CONFORMITÉ ET SÉCURITÉ DES TRAITEMENTS
7) Suis-je obligé de désigner un Délégué à la Protection des Données (DPD ou plus régulièrement désigné DPO pour Data Protection Officer) ?
7) Suis-je obligé de désigner un Délégué à la Protection des Données (DPD ou plus régulièrement désigné DPO pour Data Protection Officer) ?
Oui
Non
Seulement si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le choix d’un DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire.
Question suivante…
Cela peut être le cas si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire
Question suivante…
8) Le dirigeant est-il exempté de toute responsabilité avec la désignation d’un DPO ?
Oui
Non
En aucun cas. Le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.
Question suivante…
Effectivement, le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.
Question suivante…
9) Dois-je limiter l’accès aux données personnelles détenues par la structure aux seuls salariés ?
Oui
Non
Sur le principe, l’accès doit être encore plus restreint. L’accès doit dépendre des objectifs poursuivis et dans tous les cas, il convient, même dans de petites structures d’établir un cloisonnement en interne en choisissant les personnes habilitées en fonction des tâches à exécuter. A contrario, certaines personnes extérieures à la structure peuvent être amenées à à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). La plupart du temps, seuls le service (ou le responsable) des ressources humaines ou encore le service financier ont accès aux données des salariés. Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.
Question suivante…
Il doit être limité au sein de la structure (la plupart du temps, seuls les services financiers et des ressources humaines ont accès aux données) mais certaines personnes extérieures peuvent être amenées à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.
Question suivante…
10) La sécurisation des données personnelles passe-t-elle par une protection « physique » des locaux ?
Oui
Non
Effectivement, la protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).
Question suivante…
C’est faux. La protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).
Question suivante…
RGPD ET RESPONSABILITÉ
11) En tant que dirigeant, pensez-vous être responsable du traitement des données ?
11) En tant que dirigeant, pensez-vous être responsable du traitement des données ?
Oui
Non
Bien entendu, le dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.
Question suivante…
Vous l’êtes. Tout dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.
Question suivante…
12) Les données personnelles liées à ma structure sont traitées par un tiers ?
Oui
Non
Toute structure est responsable des données personnelles qu’elle collecte ou qu’elle utilise. En revanche, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.
Question suivante…
Vous êtes donc pleinement responsable des données personnelles collectées et traitées. Le cas échéant, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.
Question suivante…
LE RGPD ET LES RELATIONS CLIENT
13) Dois-je recueillir systématiquement l’accord préalable du client avant de collecter des données le concernant ?
13) Dois-je recueillir systématiquement l’accord préalable du client avant de collecter des données le concernant ?
Oui
Non
Dans le doute, il s’agit de la bonne démarche (c’est la règle de principe que met en place le RGPD). Cependant, il existe des exceptions comme notamment lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale (par exemple, à l’établissement ou à l’exécution d’un contrat auquel la personne est partie).
Question suivante…
Il est indispensable de le faire pour être en adéquation avec le RGPD. Seuls des cas particuliers échappent à cette règle de principe. Par exemple, lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale, comme pour l’établissement ou à l’exécution d’un contrat auquel la personne est partie.
Question suivante…
14) Dois-je simplement informer les personnes dont les données sont collectées en me limitant à l’existence de cette collecte
Oui
Non
En aucun cas. La personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? à quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.
Question suivante…
Effectivement, la personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? À quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.
Question suivante…
15) Ma structure communique, entre autres, par liste de diffusion ou newletters
Oui
Non
Selon le RGPD, une newsletter ou liste de diffusion est un traitement de données personnelles. Son envoi est donc soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newletter).
Question suivante…
Si cela est envisagé, il conviendra de se conformer au RGPD.
Son envoi sera soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newsletter).
Son envoi sera soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newsletter).
Question suivante…
16) Ma structure fait de la prospection (notamment du mailing)
Oui
Non
La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée. Il convient donc de prévoir un processus, aisément accessible, permettant de mettre fin au démarchage.
Question suivante…
Si cela est envisagé, il conviendra de se conformer au RGPD. La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée.
Question suivante…
17) Ma structure organise des évènements ouverts à mes clients ou mes prospects
Oui
Non
Toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles, il convient d’en assurer un traitement en adéquation avec le RGPD.
Fin du questionnaire d'Audit !
Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
Prenez contact avec nous pour en savoir plus sur notre approche !
Recevez, sans engagement, plus de détails sur notre offre et notre approche.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Alrix Consulting pour la gestion de notre clientèle
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
Si cela est envisagé, il conviendra de se conformer au RGPD car toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles.
Fin du questionnaire d'Audit !
Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
Prenez contact avec nous pour en savoir plus sur notre approche !
Recevez, sans engagement, plus de détails sur notre offre et notre approche.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Remplissez simplement le formulaire ci-dessous et nous vous enverrons tous les éléments dont vous aurez besoin pour entamer la démarche de mise en conformité.
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Alrix Consulting pour la gestion de notre clientèle
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
Elles sont conservées pendant 2 ans et sont destinées au service commercial de Alrix Consulting
Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : privacy@alrix.fr
ADRESSE
SAS ALRIX
74930 Reignier-Esery
France
France