Le registre des activités de traitements est LE document indispensable pour commencer à démontrer votre respect de la réglementation sur la protection des données personnelles (RGPD mais aussi loi Informatique et Libertés, entre autres). 

Document interne de l’entreprise, le registre des traitements est en réalité une sorte de wiki qui recense les traitements de données personnelles réalisés au sein de votre entreprise. Il permet de disposer d’une vue d’ensemble de ce que vous faites avec les données. 

Qui doit tenir un registre des traitements ?

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Il existe une mauvaise interprétation du RGPD selon laquelle les entreprises de moins de 250 salariés sont exemptées de l’obligation de tenir un registre des traitementsⁱ. C’est FAUX : la dérogation est limitée à certains cas très particuliers de traitements qui n’ont pas besoin d’être inscrits au registre de l’entreprise de moins de 250 salariés. Cela veut dire que même si vous entreprenez seul.e ou avec une très petite équipe, vous DEVEZ tenir un registre !

Que contient le registre des traitements RGPD ?

Les informations suivantes doivent apparaître sur le registre du responsable de traitementⁱⁱ :

• les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
• les catégories de données traitées,
• à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
• combien de temps vous les conservez,
• comment elles sont sécurisées.

Lorsque l’entité est sous-traitante au sens de l’article 28 du RGPD, le registre devra contenir certaines mentions spécifiques en identifiant notamment les clients et les traitements sous-traités.

Comment rédiger le registre des traitements ?

L’établissement d’un registre des traitements, et son actualisation régulière, est une étape clé de la mise en conformité au RGPD.

Sa création et sa mise à jour vous permettront de vous poser les bonnes questions, par exemple :

• Ai-je vraiment besoin de cette information pour tel usage ?
• Combien de temps je garde les données ?
• Est-ce que je protège suffisamment ces informations ?

En pratique, les étapes suivantes seront nécessaires à la rédaction du registre des traitements RGPD :

• Rassembler l’ensemble des informations disponibles : en rencontrant les responsables opérationnels de chaque service susceptible de traiter des données personnelles, et en collectant la documentation existante (contrats, process…)
• Établir la liste des traitements et compléter une fiche de registre spécifique à chaque activité.
• À partir des informations consignées dans le registre, évaluer les risques liés aux traitements de données effectués.

Vous pourrez ainsi hiérarchiser vos risques et établir votre plan d’action vers la mise en conformité de vos traitements.

Ce n’est que lorsque votre registre sera établi que vous pourrez établir efficacement les autres documents requis pour la conformité, dont la politique de confidentialité.

La CNIL propose sur son site internet un modèle de registre des traitements simplifié adapté pour les petites structures (TPE-PME, petites collectivités, associations…).

CTA : Besoin d’aide pour faire votre registre des traitements ?

Faut-il le mettre à jour ?

Le registre des traitements un document vivant, un outil de pilotage de la conformité qui doit refléter la réalité de la situation de votre entreprise.

Il faut donc le mettre à jour régulièrement, en particulier lorsque les conditions de mise en œuvre d’un traitement évoluent (ajout de nouvelles données collectées, identification de nouveaux destinataires, etc.)

Vous souhaitez être accompagnés pour votre mise en conformité au RGPD ?

i Il s’agit de l’article 30, point 5 du RGPD.

ii Les mentions obligatoires figurent à l’article 30 du RGPD.

L’article Le registre des traitements : outil de conformité au RGPD est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.

Il est assimilé à un chef d’orchestre par la CNIL (Commission Nationale Informatique et Libertés).

Le délégué à la protection des données est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés. Il peut être un élément interne de l’entreprise, un salarié ou un intervenant externe, un prestataire de service.

Le Règlement Général sur la Protection des données (RGPD) encadre cette profession en prévoyant sa désignation, ses fonctions et missions. (Chapitre 4)

La désignation d’un individu chargé de la bonne gestion des données personnelles au sein des entreprises n’est pas chose nouvelle. En effet, ce rôle était précédemment celui du Correspondant Informatique et Liberté (le CIL), sous l’empire de la Loi Informatique et Libertésⁱ.

Présentation du DPO

Lorsque sa désignation est obligatoire, le DPO est en réalité, le conseiller et l’intermédiaire privilégié du responsable de l’entreprise afin de veiller à la conformité au RGPD. Il sera également l’interlocuteur privilégié pour les questions relatives aux données personnelles, tant internes que celles émanent d’une personne concernée par un traitement effectué par l’organisme ayant désigné le DPO.

Les TPE et PME font désormais de plus en plus appel à la fonction de DPO pour se prémunir des risques et des contraintes imposées par le RGPD.

Les entreprises font de plus en plus de la désignation du DPO une condition essentielle pour assurer le pilotage de la conformité et éviter des sanctions pécuniaires ou des risques réputationnels.

Néanmoins, il est également tout à fait possible de confier la fonction de DPO à un prestataire externe à l’organisme, si la désignation en interne n’est pas envisageable ou possible. Le métier de DPO externe a pris une ampleur certaine, pour devenir de plus en plus populaire en France.

La formation du DPO

En tant qu’acteur majeur de la protection des données, le DPO doit disposer d’un certain niveau d’expertise.

Quel niveau d’expertise ?

Les exigences relatives à la désignation d’un Data protection officer portent sur la base de ses qualités professionnelles et notamment sur ses connaissances juridiques, ses connaissances en matière de protection des données et sa capacité à accomplir des missions.

Certes, aucun diplôme ne lui est demandé et le niveau d’exigence non spécifié, cependant le DPO doit avoir une expertise et une connaissance accrue du RGPD et des lois applicables au niveau national et européen.

Il est dès lors attendu du DPO qu’il ait les qualités suivantes :

• Une expertise sur les lois et pratiques nationales et européennes de protection des données, incluant une connaissance précise du RGPD ;
• Une compréhension fine des opérations de traitement mises en œuvre dans l’entreprise ;
• Une compréhension des technologies de l’information et de la sécurité des données ;
• Une connaissance du secteur d’activité de son organisme ;
• Une capacité à informer et à promouvoir au sujet de la protection des données au sein de l’organisation.

Le choix du DPO désigné devra donc être mûrement réfléchi au regard des problématiques posées en matière de protection des données pouvant se poser. De plus, l’organisme devra, au moment de faire son choix, évaluer le profil du DPO selon le contexte organisationnel et budgétaire. En effet, les DPO disposent parfois eux-mêmes de « sur-spécialisations », comme une expertise en matière de données de santé et en milieu médical.

Une expertise juridique nécessaire ?

Il ressort des lignes directrices du G29ⁱⁱ que le DPO doit avoir une expertise juridique importante car il devra avoir une compréhension des lois et pratiques nationales et européennes en matière de protection des données.

La pratique a également prouvé qu’il était capital pour un DPO d’avoir une maîtrise du droit civil, pénal et parfois administratif, et une connaissance des juridictions compétentes. En effet, cette expertise juridique permet au DPO de limiter de potentielles erreurs de non-conformité susceptibles de sanctions, et d’optimiser les recours en cas de fuite de données ou d’incidents autres.

Cependant, ces capacités doivent être mises en balance avec une connaissance pratique des systèmes d’informations, des moyens de télécommunication ou d’autres compétences tout aussi nécessaires à l’exercice du métier de DPO.

Un DPO est donc polyvalent, et dispose de compétences transverses dans des domaines complémentaires (juridique, IT, management de projet, etc.).

A l’heure actuelle, assez peu d’entreprises ont désigné un DPO et la plupart des entreprises l’ayant fait ont eu recours à un DPO rattaché à la direction juridique ou à celle de la conformité.

Les missions du DPO

Le DPO doit, sur la base de l’article 38 du RGPD paragraphe 1, être associé de manière appropriée et en temps utile par son organisation à toutes les questions relatives à la protection des données à caractère personnel.

Il n’est pas suffisant d’impliquer le DPO uniquement quand l’autorité de protection des données prend contact avec le responsable de traitement.

Les missions principales du DPO sont les suivantes :

• Informer et conseiller l’organisme au sein duquel il exerce ses fonctions et également les employés de cet organisme ;
• Implémenter la conformité au RGPD dans l’entreprise, avec le soutien des comités de direction et de ses supérieurs ;
• Contrôler le respect du RGPD et du droit national applicable en matière de protection des données personnelles, notamment en ce qui concerne des finalités de traitement.
• Veiller au respect des droits des individus concernés par les traitements ;
• Proposer à son organisme la réalisation d’une analyse d’impact relative à la protection des données lorsque nécessaire ;
• Se rendre disponible pour répondre aux différentes questions des membres de son organisme relatives à la protection des données ;
• Il assure une coopération avec l’autorité de contrôle ;

Le DPO peut aussi, avec la contribution des responsables de traitement et des sous-traitants, tenir le registre des traitements de l’organisme.

Le DPO accompagne son organisme dans sa mise en conformité et ceci passe notamment par :

• Aider l’organisme à cartographier ses traitements ;
• Prioriser les actions à mener concernant la protection des données en fonction du contexte et des risques associés ;
• Organiser les procédures internes visant à gérer les traitements de données personnelles, ;
• Documenter la conformité de l’organisme afin de pouvoir, en cas de contrôle, démontrer sa conformité à la réglementation applicable.

Pour réaliser ses missions, le DPO peut avoir recours à un logiciel RGPD de suivi de la mise en conformité, ce logiciel étant évidemment un simple outil ne pouvant à lui seul justifier de la conformité.

Le DPO : obligatoire ou non ?

Longtemps facultative sous l’empire de la loi de 1978, la désignation d’un DPO devient obligatoire dans un certain nombre de cas. Toutes les entreprises ne sont pas tenues de désigner un délégué à la protection des données au sein de leur structure. Toutefois, cette désignation est vivement conseillée par la CNIL.

La désignation d’un DPO est obligatoire dans ces cas précis prévus par l’article 37 du RGPD :

• Quand le traitement de données à caractère personnel est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
• Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement (vidéosurveillance, géolocalisation, traitement des échanges bancaires…) ;
• Quand les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et des infractions.

Conclusion 

Sauf dans certains cas, il n’est pas obligatoire pour une entreprise de désigner un DPO, mais cette pratique est vivement encouragée.

Le métier de DPO ne nécessite pas un diplôme spécifique. Toutefois, avoir une expertise juridique est important, et l’accompagner d’une connaissance fine des réglementations en matière de protection des données personnelles primordial. D’autres compétences sont tout autant mises en valeur par le métier de DPO : connaissances en informatique, techniques de communication, gestion de projet, etc.

Le DPO est chargé de nombreuses missions par l’organisme qui le désigne, qui se regroupent autour du respect du RGPD et de la protection des données personnelles des individus. Il sera le gardien du respect des législations nationales et européennes par le responsable de traitement en le conseillant et en l’informant constamment des évolutions et nouvelles réglementations applicables.

Les désignations de DPO auprès de la CNIL évoluent (de 21 000 en 2019 à 34 440 début 2024ⁱⁱⁱ), ce qui traduit un souci croissant des entreprises de respecter les droits des personnes concernées. De plus, la CNIL et les autorités européennes renforcent leurs contrôles en ciblant chaque année des secteurs variés et à risque.

i Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés 

ii Lignes directrices du G29 concernant les délégués à la protection des données (DPD) adoptées le 13 décembre 2016

iii CNIL, Étude 2024 : Évolution de la fonction de Délégué à la Protection des Données

L’article Qu’est-ce qu’un DPO ? est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.

Vous êtes tentés de les rédiger par vous-même, mais comment faire ? Et comment les communiquer à vos clients ?

Pourquoi écrire des CGV ?

Les CGV vont définir les relations contractuelles d’une entreprise avec son client, qu’il soit un professionnel ou un consommateur. Elles donnent des informations sur la politique commerciale de l’entreprise (modalités de paiement, délai de rétractation, de livraison, valeurs de l’entreprise, etc.)

Ces informations sont donc regroupées au sein du document afin d’informer les clients sur leurs droits et les obligations auxquelles ils sont tenus, ainsi que sur l’identité de l’entreprise avec laquelle ils contractent.

Ne confondez pas les CGV avec les CGU (conditions générales d’utilisation), elles n’ont pas la même fonction ! Les CGU servent à réglementer l’utilisation d’un service et non à encadrer des relations commerciales.

Le rôle des CGV est en réalité de sécuriser les parties au contrat de vente grâce à des informations transparentes, qui permettent de réduire le risque que de potentiels litiges apparaissent entre vous et vos clients.

Sachez que des CGV bien rédigées sont la preuve d’une activité bien encadrée et peuvent ainsi vous donner un large avantage concurrentiel, notamment vis-à-vis de vos concurrents dont les conditions générales de vente seraient lacunaires ou inexistantes. Elles sont donc très importantes !

Est-ce que je suis obligé de les faire figurer sur mon site web ?

Vous avez obligation de disposer de CGV, cependant, les publier sur votre site internet n’est pas forcément une obligation systématique !

Dans le cas d’un client professionnel, la mise à disposition des CGV sur votre site web n’est pas obligatoire. Cependant, leur communication est obligatoire si elles sont demandées par le client professionnelⁱ. Le refus de communication des CGV à un professionnel est par ailleurs sanctionné d’une amende pouvant aller jusqu’à 15 000€ pour une personne physique et 75 000€ pour une personne moraleⁱⁱ.

Il faut donc disposer de CGV, mais elles ne sont pas toujours soumises à une communication obligatoire sur le site web. En revanche, en cas de demande expresse du client, quelle que soit sa qualité, vous devez les lui communiquer.

Il est dans votre intérêt de bien disposer de ces CGV revêtues de toutes les mentions obligatoires pour pouvoir les communiquer à tout moment.

En revanche, quand le client est un consommateur, un particulier, la communication des CGV est une obligation prévue par le Code de consommation et par la loi Hamon du 17 mars 2014 qui créé une obligation précontractuelle d’information à la charge du vendeurⁱⁱⁱ.

La loi considère le consommateur comme un individu vulnérable, « une partie faible » qu’il faut protéger face à l’entreprise. Cette protection passe par la délivrance de nombreuses informations afin qu’il s’engage en toute connaissance de cause.

S’agissant de la charge de la preuve de la communication des CGV, elle incombe au vendeur professionnel. En cas de contentieux, c’est ainsi à vous de prouver que vous avez mis vos CGV à la disposition du client. Comment ? La méthode la plus courante consiste en l’insertion d’une mention ou d’une case à cocher dans le contrat final ou lors de la commande. A défaut, le contrat de vente ou de prestation de services peut alors être annulé ou le vendeur peut être sanctionné d’une amende administrative d’un montant pouvant atteindre 15 000€.

Vous pouvez par exemple insérer une mention type « J’ai lu et j’accepte expressément les CGV » dans votre contrat ou lors de l’achat en ligne pour prouver leur délivrance et leur acceptation.

Quelles informations obligatoires dans les CGV ?

Avant de commencer la rédaction de CGV, il faut faire particulièrement attention au fait de savoir si votre client est un consommateur ou un particulier car les informations à fournir diffèrent.

Le Code de la consommation fait état également de clauses interdites qui ne peuvent en aucun cas figurer dans vos CGV. C’est le cas des clauses réduisant les obligations du vendeur à l’égard de son client par exemple.ⁱ

Est-ce que je peux utiliser les CGV de mon concurrent ?

Il est souvent très tentant, quand on veut gagner du temps ou économiser de l’argent, de copier les CGV piochées sur des sites de concurrents. Sachez que cette pratique comporte des risques !

• Les CGV d’une entreprise sont bien souvent écrites sur mesure afin de s’adapter à ses caractéristiques propres qui ne sont pas les mêmes que les vôtres ;
• Copier un document appartenant à autrui peut faire l’objet d’une sanction judiciaire fondée sur le parasitisme économique, voire la contrefaçonⁱ.

Est-ce que je peux les écrire moi-même ?

En principe, vous pouvez tout à fait rédiger vous-même des CGV, qui plus est en vous appuyant sur des modèles disponibles en ligne, gratuitement ou en payant pour un modèle. Avec des outils d’IA génératives comme ChatGPT, la tentation est encore plus grande d’écrire soi-même ses CGV.

Le risque est cependant que vos CGV ne soient pas adaptées à votre modèle économique, à votre business model. Dans ce cas, vous risquez de vous astreindre à des obligations superflues, voire contradictoires vis-à-vis de vos pratiques commerciales, ce qui alourdira considérablement votre charge de travail et fragilisera votre business.

De plus, vous vous exposez à une rédaction qui manquera de précision juridique. Clauses abusives, contradiction entre les articles, voire pratiques commerciales trompeuses… les travers sont nombreux, et bien vite atteints.

Se faire accompagner d’un professionnel

Ce document est d’une importance telle qu’il est vivement recommandé, pour sa sécurité juridique et pour protéger son chiffre d’affaires, de se faire accompagner par un professionnel du droit ayant toutes les connaissances adéquates afin de s’assurer que les CGV sont conformes et adaptées à l’activité professionnelle exercée par votre entreprise.

i Voir par exemple la décision du Tribunal de Commerce de Paris du 22 juin 2012 ; le jugement du Tribunal judiciaire de Paris du 15 avril 2022, n° 20/10563 (non publié), condamnant pour parasitisme la société Youstory à verser des dommages-intérêts à Librinova ; ou encore l’arrêt de la Cour d’appel de Paris du 24 septembre 2008 n°07/03336 : la société Kalypso a été contrainte à verser 10 000€ de dommages-intérêts à la société Vente-Privée.com dont elle avait recopié les CGV.

i Article L441-1 du Code de commerce 

ii Article L441-6 du Code de commerce

iii Article L111-1 du Code de la consommation

i Articles R212-1 et suivants du Code de la consommation

Besoin d’aide pour écrire vos CGV ?

L’article Écrire ses CGV soi-même : bonne ou mauvaise idée ? est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.