FAQ

FAQ

 

 

Marque

DROIT DES MARQUES

La marque est un actif immatériel, révélateur de la stratégie de l’entreprise et porteur de son image. Le développement des nouvelles technologies a engendré un accroissement de sa valeur économique, faisant de la marque un véritable vecteur de communication.

La marque est définie comme un signe susceptible de représentation graphique. A ce titre, elle peut revêtir plusieurs formes renforçant ainsi son impact commercial.

De par son caractère distinctif, elle constitue un élément d’identification et de captation des consommateurs. En effet, le propre de la marque est de distinguer vos produits et services de ceux d’autres entreprises.

Cet instrument facultatif mais, néanmoins primordial, doit être apprécié et appréhendé comme un véritable atout commercial. Pour assurer à votre marque, une gestion efficiente et une exploitation pérenne, un certain nombre de formalités et de critères doivent être remplis.

Quelles sont les conditions de validité d’une marque ?

  1. Les différents types de marques

Un grand nombre de formes peuvent faire l’objet d’un dépôt à titre de marque. Pour cela, il faut que le signe choisi pour constituer la marque puisse être représenté graphiquement.

Un mot, un nom, un slogan, des chiffres, des lettres etc. constituent une marque « verbale ».

Un dessin ou un logo caractérisent une marque « figurative ».

On dit que la marque est « semi-figurative » lorsqu’elle combine les deux.

Enfin, il est possible de déposer une marque sonore qui sera caractérisée par un son ou une phrase musicale.

 

  1. Les conditions de validité de la marque

Pour qu’un signe puisse être protégé au titre du droit des marques, il faut qu’il réponde à trois conditions essentielles : il doit être licite, distinctif et disponible.

 

  • La licéité du signe

Pour être valide, une marque ne doit pas porter atteinte à l’ordre public ou aux bonnes mœurs tel que le serait un slogan raciste.

Aussi, certaines armoiries publiques, les drapeaux ou autres signes officiels protégés, dont la liste est produite par l’Organisation mondiale de la propriété intellectuelle (OMPI), ne peuvent faire l’objet d’un dépôt.

Enfin, il faut être vigilant à ce que la marque proposée ne soit pas de nature à induire le public en erreur, notamment sur la nature, la qualité ou la provenance géographique du produit ou du service et qui aurait pour conséquence de tromper ou de décevoir le consommateur.

 

  • La distinctivité du signe

Le caractère distinctif de la marque sert à identifier, en les distinguant, les produits ou services de même nature proposés par des concurrents.

Il faut donc éviter que le signe :

  • Désigne une caractéristique du produit ou du service ;
  • Décrive le produit ou le service ;

 

  • La disponibilité du signe

Pour qu’un signe soit disponible, il ne doit pas y avoir de droit antérieur du fait d’une marque antérieurement enregistrée, notoirement connue, d’un nom de domaine existant, d’une dénomination sociale etc., sur ce signe sur le territoire envisagé pour l’exploitation de la marque.

 

Pour cela, il faut effectuer une recherche d’antériorités ou de « similarités » du signe au regard des produits et services pour lesquels l’exploitation est envisagée.

L’enregistrement de la marque garantit un droit sur celle-ci. Les droits ainsi acquis s’apprécient par rapport aux catégories de produits ou services visés.

Ainsi, l’analyse de signes identiques ou similaires préexistants se fait en fonction des produits ou services envisagées lors du dépôt.

 

 

La stratégie de dépôt de marque

Un signe, pour être protégée à titre de marque, doit être enregistré. Le simple usage d’un signe à titre de marque ne permet pas de bénéficier du régime protecteur du droit des marques.

Après vérification de la disponibilité de votre signe, il faudra effectuer le dépôt d’une demande d’enregistrement. Pour ce faire, il est indispensable de se rapprocher l’organisme compétent afin de réaliser l’enregistrement.

Selon l’étendue de la protection que vous souhaitez, il faudra effectuer un dépôt en France ou bien à l’étranger.

 

  • Identification du territoire

La détermination du territoire d’exploitation de la marque est primordiale. Cette étape permet d’établir les conditions de mise en œuvre de la protection, qui diffèrent selon les pays choisis, ainsi que l’étendue territoriale de la protection une fois la marque enregistrée.

 

  • Identification des produits et services

Il est impératif d’identifier les produits et services pour lesquels vous souhaitez déposer votre marque.

 

Les produits et services sélectionnés lors de la demande d’enregistrement de la marque bénéficieront alors de la protection.

Cette étape est importante car, après le dépôt d’une marque, il n’est plus possible de modifier, supprimer ou ajouter des produits ou services choisis. Toute modification nécessitera un nouveau dépôt.

 

 

Protéger sa marque en France

En France, la procédure de dépôt d’une demande d’enregistrement d’une marque se déroule devant l’Institut national de la propriété industrielle (INPI).

Cette procédure est la suivante :

 

  • Dépôt de votre demande d’enregistrement de marque

Le dépôt s’accompagne du paiement de taxes à l’enregistrement :

  • Dépôt électronique : 210 euros pour 3 classes + 42 euros par classe supplémentaire ;
  • Dépôt papier : 250 euros pour 3 classes + 42 euros par classe supplémentaire ;

 

  • La publication de la demande auprès du BOPI

Dans un délai de 6 semaines suivant votre dépôt, l’INPI rend publique votre demande d’enregistrement en la publiant sur le Bulletin Officiel de la Propriété Industrielle. Cette publication est le point de départ de l’examen du dossier par l’INPI et de la procédure d’opposition.

 

  • Examen du dossier par l’INPI

L’institut vérifie que la demande satisfait aux conditions de forme et de fond.

 

  • L’opposition par un tiers

À compter de la publication au BOPI, les titulaires de droits antérieurs disposent de deux mois pour les faire valoir devant l’institut, afin d’obtenir le rejet de la demande d’enregistrement du signe, a priori, indisponible. L’INPI devra alors statuer sur cette demande d’opposition et ainsi refuser ou accepter l’enregistrement du signe.

 

  • La publication de l’enregistrement auprès du BOPI

L’enregistrement a pour effet de fixer le contenu du droit sur la marque et sa durée. Il sera publié au BOPI et donne lieu à la réception d’un certificat d’enregistrement.

 

  • Effets de l’enregistrement

À compter de la date du dépôt de la demande, la marque est opposable aux tiers et est protégée, sous réserve de son enregistrement, pour une durée de 10 ans, renouvelable.

 

  • Le renouvellement

Pour renouveler les droits sur la marque, il faudra s’acquitter d’une nouvelle taxe :

  • 250 euros pour 1 à 3 classes ;
  • 42 euros par classe supplémentaire

Lors du renouvellement, vous ne pouvez pas ajouter de nouveaux produits ou services, ni modifier le modèle de la marque. Des changements de ce type doivent faire l’objet d’un nouveau dépôt.

 

 

Protéger sa marque à l’étranger

  • Extension de la protection à l’étranger et délai de priorité

Si vous souhaitez déposer votre marque française à l’étranger, il est possible de bénéficier de l’antériorité de votre marque française si vous formulez votre demande d’enregistrement étrangère dans le délai de 6 mois suivant le dépôt de votre demande de marque française (délai de priorité).

Vous bénéficierez ainsi, pour votre titre étranger, de la date de dépôt de votre marque française (et non celle du dépôt de votre demande de marque étrangère). Par conséquent, les demandes de marque qui auraient été déposées dans ce(s) pays dans cet intervalle vous seraient inopposables.

  • La marque de l’Union européenne [insérer un lien renvoyant vers la rubrique]
  • La marque internationale [insérer un lien renvoyant vers la rubrique]
  • La marque nationale étrangère

Si vous souhaitez déposer votre marque dans un seul pays, ou désigner un pays ne faisant pas partie du protocole de Madrid (tel que le Canada), il faudra effectuer une demande individuelle directement dans le pays concerné et selon la procédure d’enregistrement des marques mise en place par ce pays.

  • La marque OAPI (Organisation Africaine de la Propriété Intellectuelle)

L’OAPI permet une protection du signe dans les pays africains membres de l’accord de Bangui (Bénin, Burkina Faso, Cameroun, Centrafrique, Comores, Congo, Côte d’Ivoire, Gabon, Guinée, Guinée équatoriale, Guinée-Bissau, Mali, Mauritanie, Niger, Sénégal, Tchad et Togo).

Protéger sa marque dans l’Union européenne

Au niveau de l’Union Européenne, la procédure de dépôt d’une demande d’enregistrement d’une marque se déroule devant l’Office de l’union européenne pour la propriété intellectuelle (EUIPO).

Il s’agit d’une demande et d’un examen unique qui permet la délivrance d’un titre unitaire qui a vocation à s’appliquer automatiquement à tous les pays de l’Union européenne, dont la France.

Cette procédure est la suivante :

 

  • Le dépôt de la demande

Le dépôt s’accompagne d’une taxe de 850 € de 1 à 3 classes pour un dépôt électronique et à 1 000 € pour un formulaire papier. A cela s’ajoute une taxe de 150 € par classe de produits et services revendiquée au-delà de la troisième.

 

  • Période d’examen de la demande

Au cours de cet examen, l’EUIPO va :

  • Vérifier les produits et services sélectionnés dans la demande pour s’assurer qu’ils soient correctement classifiés et que leur nature soit clairement identifiée.
  • Vérifier les formalités saisies dans votre demande pour garantir que tout est en ordre (la signature, les langues, les données du titulaire et/ou du représentant, les revendications de priorité et/ou d’ancienneté sont vérifiées).
  • Vérifier les conditions de validité de la marque (distinctivité, descriptif ou non, etc).
  • Traduire la demande de marque pour que son contenu puisse être publié dans toutes les langues officielles de l’Union européenne.
  • Effectuer des recherches afin d’identifier d’éventuelles marques identiques et/ou similaires.

 

  • Publication de la demande

À partir de la date de publication, tout tiers estimant que votre marque ne devrait pas être enregistrée, du fait de l’existence de droits antérieurs, dispose d’un délai de trois mois pour former une opposition à l’encontre de votre demande.

Si tel est le cas, une procédure d’opposition est mise en place, à l’issue de laquelle une décision est rendue par l’EUIPO.

 

  • L’enregistrement

Au terme de la période d’opposition, la marque validée est enregistrée et sera publiée. L’Office vous délivrera alors un certificat d’enregistrement.

 

  • Le renouvellement

L’enregistrement est renouvelable tous les 10 ans avec une taxe de renouvellement de 850 euros (voie électronique) ou 1000 euros (voie papier) pour une classe, 50 euros pour la deuxième classe et 150 euros pour le renouvellement de chaque classe de produits et services à partir de la deuxième.

 

Protéger sa marque à l’international

Le dépôt de la marque internationale permet, par une procédure unique, de conférer à son titulaire une protection dans les pays membres du Protocole de Madrid. Un tel dépôt aboutit au même résultat que si la marque avait été déposée et enregistrée dans chacun des pays.

Toutefois, il ne s’agit pas d’un titre unitaire. La procédure, qui est unique, donne lieu à une série de marque nationale répondant aux critères du pays dans lequel la protection est demandée. Il est alors possible que la demande soit refusée dans certains pays et acceptée dans d’autres.

Le dépôt de la demande d’enregistrement de marque internationale doit être présenté devant l’OMPI.

La procédure est la suivante :

 

  • Préalable à la demande de dépôt international

Avant de déposer une demande d’enregistrement de marque internationale, vous devez disposer d’une marque enregistrée dans un état membre de Madrid.

Attention, la vérification de la disponibilité du signe devra s’effectuer dans chacun des pays dans lesquels vous souhaitez étendre votre protection.

 

  • Le dépôt d’une demande internationale

Il faut remplir le formulaire de dépôt de marque internationale correspondant à votre choix de pays.

 

  • Examen de la demande de dépôt international

Selon les cas, la demande d’enregistrement sera examinée par l’office national (ex : INPI, OMPI, etc.). À l’issu de l’examen (produits/services visés, paiements redevances), un certificat est envoyé au déposant avec cet enregistrement.

 

  • Examen du dossier par les pays désignés

Chaque pays examine la demande au regard de sa propre législation sur les marques. Dans ce contexte, chaque pays a le droit de rejeter la demande en totalité ou en partie. La décision de refus dans un pays n’a pas d’impact sur les autres pays.

 

  • Validation de la marque par les pays désignés

Si le demandeur ne reçoit pas de lettre de refus d’un pays dans un délai de 12 à 18 mois, cela signifie que la marque a été enregistrée dans ce pays.

 

  • Le renouvellement

L’enregistrement est renouvelable en moyenne, selon les pays, tous les 10 ans. Il faudra, pour cela, s’acquitter du paiement d’une taxe dont le montant variera en fonction des pays désignés pour la marque.

 

 

L’exploitation de la marque

La marque est un élément à part entière de l’entreprise qui a une valeur. Elle peut faire l’objet d’un certain nombre d’opérations juridiques permettant sa valorisation.

La marque peut être exploitée par son titulaire initial mais ce dernier peut également la céder ou autoriser un ou plusieurs tiers à l’exploiter.

Des titulaires de marques proches peuvent également conclure des accords de coexistence afin d’harmoniser l’exploitation de leur signe respectif.

 

  • La cession de marque

La marque peut faire l’objet d’une cession, totale ou partielle, étant précisé que cette cession peut être autonome.

La cession doit porter sur une marque enregistrée et valide.

La cession doit être convenue par écrit à peine de nullité. Elle sera, ensuite, publiée au registre National des Marques pour être opposable aux tiers.

 

  • La licence de marque

La licence est un contrat par lequel le titulaire d’une marque concède à une personne, en tout ou partie, la jouissance de son droit d’exploitation sur la marque, moyennant une rémunération.

Vous pouvez recourir à une telle licence lorsque le titulaire de marque souhaite tirer profit de certains marchés qu’il ne peut exploiter directement. Ce sera le cas s’il veut s’aventurer sur un marché à l’étranger, par exemple.

La licence peut être exclusive ou non. Si elle est exclusive, le titulaire de la marque ne peut concéder à des tiers, sur le même territoire, une licence de la même marque, pour les mêmes produits et services. Cette exclusivité doit être stipulée.

 

  • Les accords de délimitation ou de coexistence

Il est possible de conclure un accord avec un autre titulaire de marques identiques ou proches de la vôtre et couvrant les mêmes produits ou des produits similaires afin de coexister sur le marché.

Le recours à ces accords permet de neutraliser un contentieux actuel ou potentiel.

 

 

L’action en contrefaçon

La contrefaçon est un acte de reproduction, d’imitation ou d’utilisation totale ou partielle d’un droit de propriété intellectuelle sans l’autorisation préalable de son propriétaire.

Ainsi, il s’agit d’un usage illicite de la marque d’autrui, que ce soit par la reprise à l’identique de la marque protégée ou par son imitation. Un tel acte va opérer une confusion dans l’esprit du public.

Pour faire valoir ses droits, le titulaire d’une marque ou bien le licencié, peuvent exercer une action devant les juridictions civiles et/ou pénales.

La saisie-contrefaçon est un mode de preuve de la contrefaçon et permet, sur autorisation d’un juge, de faire constater par un huissier de justice l’atteinte et de saisir les preuves de celle-ci. La saisie-contrefaçon est non-contradictoire et bénéficie de l’effet de surprise : le saisi l’ignore jusqu’au dernier moment, il ne peut donc faire disparaître les éléments de preuve de la contrefaçon.

Internet / Nouvelles technologies

INTERNET ET E-COMMERCE

L’arrivée d’internet a généré un nouveau canal de distribution, le commerce électronique, permettant aux internautes de réserver une prestation de service ou d’acheter un bien en quelques clics.

Défini par le législateur, le commerce électronique (ou e-commerce) désigne « l’activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou services ».

Devenu depuis plusieurs années un élément incontournable des entreprises, le site internet constitue un véritable atout de communication permettant à l’entreprise de se faire connaître du public et de proposer à distance ses produits ou services.

La mise en œuvre d’un site internet n’est cependant pas sans contrainte. En effet, tous les sites édités à titre professionnel, pour quelque activité que ce soit, doivent contenir des mentions permettant notamment à l’utilisateur d’identifier l’éditeur du site.

En fonction de l’exploitation faite du site, d’autres mentions devront être portées à la connaissance de l’internaute.

Plus particulièrement, les sites internet de e-commerce doivent contenir des mentions encadrant la relation commerciale entre le fournisseur professionnel de biens ou services et son client, professionnel ou consommateur.

Les documents recensant ces mentions obligatoires doivent être communiqués aux utilisateurs et/ou clients de votre site et doivent donc être rédigés avec soins.

Quels sont les documents nécessaires pour un site de e-commerce ?

L’éditeur d’un site internet doit y faire figurer plusieurs mentions. Certaines sont obligatoires et leur absence peut être sanctionnée par les autorités compétentes, d’autres sont vivement conseillées.

Ces mentions vont dépendre de l’activité exercée et de l’utilisation faite du site.

Parmi les mentions à faire figurer sur votre site on peut notamment citer :

  • Les CGV 

Les conditions générales de ventes (CGV) encadrent les relations commerciales entre le fournisseur de biens ou services et ses clients, professionnels ou consommateurs.

  • Les CGU 

Les conditions générales d’utilisation (CGU) encadrent l’utilisation du site par l’internaute.

  • Les mentions légales 

Les mentions légales sont les mentions devant impérativement figurer sur un site internet.

  • La politique cookies 

La Politique cookies permet à l’utilisateur du site d’être informé sur l’utilisation qui est faites des cookies par le site et de consentir, refuser ou adapter les paramètre de cette utilisation.

  • La politique de confidentialité 

La politique de confidentialité permet notamment d’informer l’utilisateur sur les données à caractère personnel collectées et traitées à travers le site internet et de lui indiquer la finalité des traitements effectués, la durée de conservation des données collectées, le responsable de traitement et les droits dont il dispose.

 

 

Qu’est-ce que les CGV ?

Les conditions générales de ventes (CGV) encadrent les relations commerciales entre un professionnel et ses clients (professionnels ou non) pour la vente de biens ou les prestations de services.

Les CGV permettent de sécuriser la relation du vendeur avec ses clients en définissant les contours de la prestation et les droits et obligations des parties.

Selon la qualité du client, elles seront régies par les dispositions du Code de commerce (relations entre professionnels dites B2B) ou par du Code de la consommation (relations entre professionnel et particulier consommateur dites B2C).

Entre professionnels, les CGV constituent le socle de la négociation commerciale et doivent être communiquées au client professionnel si celui-ci en fait la demande.

Lorsque le vendeur professionnel s’adresse à un client consommateur, les CGV sont obligatoires. Le vendeur doit pouvoir justifier de leur communication et acceptation par le consommateur.

En pratique, elles sont généralement communiquées et acceptées par le client avant tout achat.

Les CGV doivent comporter certaines mentions obligatoires qui diffèrent selon les clients professionnels ou consommateurs.

Les CGV peuvent être modifiées en fonction de l’évolution de votre activité, toute modification vaudra pour l’avenir et devra être communiquée au Client.

Il est important de rédiger des CGV claires et complètes afin de limiter les risques juridiques avec vos clients et concurrents.

Qu’est-ce que les mentions légales ?

Lorsqu’un site internet est édité à titre professionnel, pour quelque activité que ce soit, l’éditeur doit notamment indiquer les informations suivantes (dites mentions légales) :

  • Les informations relatives à l’éditeur (nom, prénom et domicile pour une personne physique ; raison sociale, forme juridique, numéro RCS, adresse du siège social et montant du capital social pour une personne morale) ;
  • L’adresse de courriel et le numéro de téléphone de l’éditeur ;
  • Le nom du directeur de la publication ;
  • Les coordonnées de l’hébergeur du site (nom ou dénomination sociale, adresse et numéro de téléphone) ;
  • Le numéro de TVA intracommunautaire en cas d’activité commerciale ;
  • Les informations relatives aux cookies du site ;
  • Les conditions générales de ventes en cas de site marchand.

Les mentions légales sont généralement incorporées aux CGU mais elles peuvent faire l’objet d’un document distinct.

Les mentions légales sont obligatoires. Leur absence peut être sanctionné jusqu’à un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques et 375.000 euros pour les personnes morales.

Qu’est-ce que la politique cookies ?

Les cookies, ou plus généralement les traceurs, sont déposés sur le disque dur du périphérique de l’utilisateur lors de la consultation du site. Ils sont utilisés par le site pour envoyer des informations au navigateur de l’utilisateur et permettent également à ce navigateur de renvoyer des informations au site (par exemple un identifiant de session, le choix d’une langue ou une date).

Avant de déposer ou utiliser un cookie, l’éditeur du site internet doit informer l’utilisateur de la finalité du cookie, obtenir son consentement pour cette utilisation et lui permettre de refuser cette utilisation et/ou de personnaliser les paramètres d’utilisation.

Le consentement de l’utilisateur doit être limité et sa durée ne peut excéder 13 mois.

Il doit être obtenu avant que le cookie soit déposé sur le périphérique de l’utilisateur : tant qu’il n’a pas donné son consentement le cookie ne peut être utilisé.

De manière générale, l’utilisateur est informé de la présence de cookies sur un site par l’apparition d’un bandeau qui ne peut disparaître tant que l’utilisateur n’a pas accepté l’utilisation ou poursuivi sa navigation en cliquant sur un autre élément du site.

Certains cookies ne nécessitent pas de recueillir le consentement de l’utilisateur. Il s’agit notamment de ceux strictement nécessaire à la fourniture d’un service expressément demandé par le fournisseur tels que :

  • Les cookies d’authentification ;
  • Les cookies de « panier d’achat » pour un site commerçant ;
  • Les cookies d’identification de session utilisés pour la seule durée de la session ;
  • Les cookies persistants relatifs à la personnalisation de l’interface comme le choix de langue ;

La politique cookies peut être incorporée aux CGU ou faire l’objet d’un document distinct.

 

 

Qu’est-ce que la charte Données personnelles ?

Le règlement général sur la protection des données (RGPD) est une règlementation européenne renforçant les droits et la protection des données à caractère personnel des personnes physiques.

Il est entré en vigueur le 25 mai 2018 et impose à toute organisation, publique ou privée, traitant des données personnelles pour son compte ou non, établie sur le territoire de l’Union européenne ou ayant une activité ciblant directement des résidents européens.

Le RGPD concerne également les sous-traitants qui traitent des données à caractère personnel pour le compte d’autres organismes.

Afin d’être en conformité avec le RGPD différentes mesures doivent être mise en place par les organismes concernés. En savoir plus sur le RGPD [insérer un lien renvoyant vers la page sur les données personnelles]

Si l’éditeur d’un site internet collecte et traite des données à caractère personnel à travers son site internet (formulaire de contact, création d’un compte client, questionnaire en ligne etc.) il doit en informer l’utilisateur.

La Charte Données personnelles (ou Politique de confidentialité) permet notamment d’indiquer à l’utilisateur :

  • Les données à caractère personnel collectées et traitées ;
  • La finalité des traitements effectués ;

La durée de conservation des données personnelles ;

  • Les droits de l’utilisateur (droit d’opposition, droit d’accès, droit de rectification, droit d’effacement, droit à la portabilité, droit d’information) ;
  • Le responsable de traitement ;
  • Les destinataires des traitements.

La Politique de confidentialité doit être librement accessible à tout utilisateur du site et peut être modifiée en fonction de l’évolution de votre activité.

 

Données à caractère personnel

Le droit des données à caractère personnel est longtemps resté marginal. Adoptée en 1978, la Loi informatique et libertés s’est emparé de la question de la protection des données à caractère personnel au commencement de la numérisation des activités de la société, que ce soit au niveau de l’Etat ou des foyers.

Au niveau européen, un nouveau cadre juridique renforçant les droits des citoyens européens sur la protection de leurs données à caractère personnels a récemment été mis en œuvre. Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) renforce les droits des personnes et responsabilise les organismes traitant les données à caractère personnel.

Afin de garantir une utilisation des données à caractère personnel respectueuse de la vie privée des personnes concernées les organismes publics ou privés traitant des données à caractère personnel doivent adopter de bon reflexes.

Qu’est-ce qu’une donnée à caractère personnel ?

« Toute information se rapportant à une personne physique identifiée ou identifiable » constitue une donnée à caractère personnel.

Une personne peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, numéro client, photographie) à partir d’une seule donnée (numéro de sécurité social) ou par recoupement de données.

Les données suivantes peuvent notamment constituer des données à caractère personnel :

  • Nom, prénom
  • Numéro de téléphone
  • Adresse postale
  • Adresse email
  • Numéro de sécurité sociale
  • Numéro de carte d’identité nationale
  • Adresse IP
  • Eléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale d’une personne (sexe, profession, loisirs, âge etc.)

Les données relatives à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuse, l’appartenance syndicale, la santé ou la vie d’une personne sont dites « données sensibles » et ne peuvent être recueillies et exploitées qu’avec le consentement explicite de la personne concernée.

 

 

 

Qu’est-ce qu’un traitement de données à caractère personnel ?

Toute opération effectuée sur des données à caractère personnel, de quelque manière que ce soit (automatique ou manuelle) constitue un traitement de données à caractère personnel.

Ainsi, constituent des traitements de données personnelles la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’utilisation ou la communication par transmission ou diffusion d’une donnée à caractère personnel.

A titre d’exemple, le fait de tenir un fichier clients, de collecter les coordonnées de clients potentiels à travers un questionnaire ou de mettre à jour un fichier de prestataires est un traitement.

Le traitement de données à caractère personnel n’a pas à être informatisé, les fichiers papiers constituent également des traitements.

Le traitement de données doit avoir une finalité, avoir un but légal et légitime au regard de l’activité professionnelle de la personne l’effectuant.

Le responsable de traitement est la personne, physique ou morale, qui détermine, seule ou conjointement, la finalité et les moyens du traitement.

Le sous-traitant est la personne, physique ou morale, qui traite des données à caractère personnel pour le compte du responsable de traitement.

Le destinataire du traitement est la personne qui reçoit la communication des données à caractère personnel.

Quels sont les droits des personnes sur leurs données à caractère personnel ?

Les personnes dont les données sont utilisées par des organismes disposent de différents droits sur leurs données à caractère personnel dont les organismes doivent permettre la mise en œuvre.

  • Le droit d’information

L’organisme traitant des données personnelles doit fournir aux personnes concernées par les traitements effectués une information claire sur la finalité des traitements, l’utilisation faite de leurs données et sur l’exercice de leurs droits.

Il convient notamment d’indiquer aux personnes concernées :

  • Les coordonnées du délégué à la protection des données de l’organisme ;
  • L’utilisation faites des données
  • Les destinataires des traitements
  • La durée de conservation des données
  • Les droits dont la personne dispose
  • L’utilisation des données hors UE
  • Le droit d’opposition

Les personnes peuvent s’opposer à tout moment à l’utilisation de ses données à caractère personnel.

La personne concernée doit mettre en avant les « raisons tenant à sa situation particulière » justifiant sa demande sauf en cas de prospection commerciale à laquelle il est possible de s’opposer sans motif.

L’organisme traitant des données personnelles peut s’opposer à cette demande et continuer à traiter les données s’il dispose de motifs légitimes et impérieux ou s’il justifie que les données en cause sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.

  • Le droit d’accès

Toute personne peut solliciter de l’organisme traitant ses données à caractère personnel qu’il lui communique les données qu’il contient sur elle afin qu’elle puisse en vérifier le contenu, l’exactitude afin, si cela est nécessaire, de les faire rectifier ou effacer.

L’organisme auprès duquel le droit d’accès est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (fichiers de police, gendarmerie ou renseignement, secret des affaires, droits de propriété intellectuelle etc.)

Attention, seules les données relatives à la personne qui en fait la demande peuvent lui être communiquées, aucune données de tiers ne peut lui être transmise.

  • Le droit de rectification

Les personnes concernées par un traitement de données à caractère personnel peuvent demander la rectification des informations inexactes ou incomplètes.

L’organisme auprès duquel le droit de rectification est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Pour certains fichiers (notamment ceux de police, gendarmerie, renseignement) l’exercice du droit de rectification sera soumis à une procédure différente.

  • Le droit à l’effacement

Toute personne concernée par un traitement de données personnelles peut demander à l’organisme qu’il procède à l’effacement des données à caractère personnel le concernant et ce notamment si :

  • Les données sont utilisées à des fins de prospection ;
  • Les données ne sont plus nécessaires au regard des objectifs pour lesquels elles avaient été collectées ou traitées ;
  • Le consentement sur l’utilisation faite des données est retiré ;
  • Les données ont été collectées alors que la personne était mineure ;
  • L’effacement est justifié par le respect d’une obligation légale.

L’organisme auprès duquel le droit à l’effacement est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (exercice de la liberté d’expression, respect d’une obligation légale, constatations, exercice ou défense de droits en justice etc.)

  • Le droit au déréférencement

Il est possible de solliciter d’un moteur de recherche (par exemple Google), qu’il supprime certains résultats de recherches associés à vos noms et prénoms.

Attention, cette suppression de résultat ne signifie pas l’effacement du contenu sur internet mais seulement des résultats de recherches pour ces mots clés. Il sera donc possible d’accéder au contenu en utilisant d’autres mots clés de recherches ou en allant directement sur le site.

  • Le droit à la portabilité

Le droit à la portabilité permet à toute personne concernée par un traitement de données personnelles de récupérer une partie de ses données dans un format lisible, pour un usage personnel ou les transmettre à un tiers de son choix.

 

 

Les obligations des organismes traitant des données personnelles

Différentes obligations sont à la charge des organismes, privés ou public, traitant des données à caractère personnel.

Afin d’être en conformité avec le RGPD, les organismes doivent notamment :

  • Respecter le principe de protection des données personnelles

Le principe de protection des données à caractère personnel et de la vie privée doit être respecté dès la conception du traitement et par défaut (« privacy by default » / « privacy by design »).

Ce principe se décompose, outre le respect des droits des personnes, en quatre grands principes :

  • Le principe de finalité: les données personnelles ne peuvent être traitées que dans un but précis, légal et légitime.
  • Le principe de proportionnalité et de pertinence : les données personnelles traitées doivent être pertinentes, strictement nécessaires, adéquates et non excessives au regard de la finalité du traitement.
  • Le principe de conservation limitée : les données personnelles ne peuvent être conservées que pour une durée limitée qui doit être fixée en fonction du type d’information concernée et de la finalité du traitement.
  • Le principe de sécurité et de confidentialité : le responsable de traitement doit garantir la sécurité et la confidentialité des données personnelles traitées (accès restreint aux données, respect de l’intégrité des données, protection des données etc.)

 

  • Tenir un registre des traitements effectués

Le registre des traitements de données à caractère personnel effectués permet de recenser les traitements de données en identifiant avec précision les personnes intervenant dans le traitement, les données traitées, l’utilité des données, les destinataires des données, la durée de conservation des données et leur mode de sécurisation.

  • Documenter la conformité au RGPD

Il appartient aux organismes traitant des données personnelles de se constituer une documentation afin de prouver leur conformité au RGPD.

Le dossier de conformité devra notamment contenir :

  • Le registre des traitements effectués ;
  • Les analyses d’impact relatives à la protection des données pour les traitements concernés ;
  • L’encadrement des transferts de données hors Union européenne ;
  • Les mentions d’information des personnes concernées par les traitements effectués ;
  • Les modèles de recueil du consentement de ces personnes ;
  • Les procédures mises en place pour l’exercice de leurs droits ;
  • Les contrats conclus avec les sous-traitants ;
  • Les procédures internes mises en place en cas de violations de données personnelles.

 

  • Notifier la violation de données personnelles

Le RGPD impose désormais aux organismes traitant des données à caractère personnelles de traiter en interne les violations des données personnelles et de notifier celles présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, aux personnes concernées par le traitement.

La violation de données est caractérisée dès lors qu’un traitement de données à caractère personnel a été mis en place et que les données traitées ont fait l’objet d’une violation, accidentelle ou illicite, comme la perte d’intégrité ou de confidentialité de la donnée personnelle.

Il appartient aux organismes, en interne, de déterminer la nature de la violation, les données et personnes concernées par la violation, les conséquences de la violation et les mesures prises ou envisagées pour atténuer les conséquences et/ou éviter qu’une telle violation se reproduise.

L’ensemble de ces informations doit être consigné dans un document qui devra, si la violation présente un risque pour les droits et libertés des personnes, être remis à la CNIL dans les 72 heures suivant la constatation de la violation.

  • Réaliser une étude d’impact des traitements à risque

L’analyse d’impact relative à la protection des données est nécessaire lorsque le traitement envisagé est susceptible, compte tenu de sa nature, sa portée, son contexte et ses finalités, d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple une atteinte à la confidentialité, la disponibilité ou l’intégrité des données traitées).

L’analyse d’impact doit être effectuée avant la mise en œuvre du traitement et contient notamment :

  • Une description des opérations de traitement envisagées et les finalités du traitement ;
  • L’évaluation de la nécessité et proportionnalité des opérations de traitement par rapport aux finalités de celui-ci ;
  • L’évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques.
  • Désigner un DPO

Dans certains cas, le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données (DPO pour « Data Protection Officer »).

Tel est le cas lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Bien que pour les autres organismes la désignation ne soit pas obligatoire, elle est vivement encouragée par les autorités car elle permet de confier à une personne disposant d’une expertise technique les actions à mener par l’organisme en matière de données personnelles.

En effet, le DPO est chargé de mettre en œuvre la conformité du responsable de traitement ou du sous-traitant au RGPD et doit notamment :

  • Informer et conseiller l’organisme qui l’a désigné sur les actions à effectuer ;
  • Contrôler le respect du RGPD ;
  • Conseiller l’organisme qui l’a désigné sur l’analyse d’impact à réaliser ;
  • Coopérer avec la CNIL.

Il doit disposer de compétences juridiques et techniques en matière de protection de données personnelles, avoir une bonne connaissance de l’activité de l’organisme et des traitements effectués par celui-ci et pouvoir exercer sa mission de DPO en toute indépendance

  • S’assurer du respect des droits des personnes concernées par les traitements effectués

Les personnes dont les données personnelles sont collectées et traitées disposent de différents droits que le responsable de traitement et le sous-traitant doivent respecter.

L’organisme traitant des données à caractère personnel doit donc s’assurer que des procédures permettant aux personnes concernées par les traitements effectués d’exercer leurs droits sont mises à leur disposition.

 

 

 

Le RGPD : qui est concerné ?

Le Règlement général sur la protection des données (RGPD) s’applique à tout organisme, public ou privé, traitant des données à caractère personnel pour son compte ou non (sous-traitant) dès lors :

  • Qu’il est établi sur le territoire de l’Union européenne ;

ou

  • Que son activité cible directement de citoyens européens.

 

Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement.

Le RGPD : comment se mettre en conformité ?

Entré en vigueur le 25 mai 2018, le RGPD impose aux organismes traitant des données à caractère personnel un certain nombre d’obligations.

Afin de se mettre en conformité avec le RGPD, les organismes doivent notamment :

  • Désigner un pilote

Dans certains cas, le RGPD impose la désignation d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).

  • Constituer un registre des traitements effectués

Le registre des traitements effectués permet d’avoir une vue d’ensemble sur les traitements opérés. Selon la CNIL, cette cartographie doit permettre de répondre aux questions Qui ? Quoi ? Pourquoi ? Jusqu’à quand ? Comment ?

Elle permet de vérifier l’utilité des données traitées par l’organisme et le respect de ses obligations.

  • Identifier les actions prioritaires

L’organisme doit déterminer s’il respecte ses obligations afin de déterminer les actions devant être menées pour se mettre en conformité avec le RGPD.

  • Gérer les risques

Lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est nécessaire de réaliser une analyse d’impact et ce, avant la mise en œuvre du traitement.

Données Personnelles (RGPD)

Données à caractère personnel

Le droit des données à caractère personnel est longtemps resté marginal. Adoptée en 1978, la Loi informatique et libertés s’est emparé de la question de la protection des données à caractère personnel au commencement de la numérisation des activités de la société, que ce soit au niveau de l’Etat ou des foyers.

Au niveau européen, un nouveau cadre juridique renforçant les droits des citoyens européens sur la protection de leurs données à caractère personnels a récemment été mis en œuvre. Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) renforce les droits des personnes et responsabilise les organismes traitant les données à caractère personnel.

Afin de garantir une utilisation des données à caractère personnel respectueuse de la vie privée des personnes concernées les organismes publics ou privés traitant des données à caractère personnel doivent adopter de bon reflexes.

Qu’est-ce qu’une donnée à caractère personnel ?

« Toute information se rapportant à une personne physique identifiée ou identifiable » constitue une donnée à caractère personnel.

Une personne peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, numéro client, photographie) à partir d’une seule donnée (numéro de sécurité social) ou par recoupement de données.

Les données suivantes peuvent notamment constituer des données à caractère personnel :

  • Nom, prénom
  • Numéro de téléphone
  • Adresse postale
  • Adresse email
  • Numéro de sécurité sociale
  • Numéro de carte d’identité nationale
  • Adresse IP
  • Eléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale d’une personne (sexe, profession, loisirs, âge etc.)

Les données relatives à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuse, l’appartenance syndicale, la santé ou la vie d’une personne sont dites « données sensibles » et ne peuvent être recueillies et exploitées qu’avec le consentement explicite de la personne concernée.

 

 

 

Qu’est-ce qu’un traitement de données à caractère personnel ?

Toute opération effectuée sur des données à caractère personnel, de quelque manière que ce soit (automatique ou manuelle) constitue un traitement de données à caractère personnel.

Ainsi, constituent des traitements de données personnelles la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’utilisation ou la communication par transmission ou diffusion d’une donnée à caractère personnel.

A titre d’exemple, le fait de tenir un fichier clients, de collecter les coordonnées de clients potentiels à travers un questionnaire ou de mettre à jour un fichier de prestataires est un traitement.

Le traitement de données à caractère personnel n’a pas à être informatisé, les fichiers papiers constituent également des traitements.

Le traitement de données doit avoir une finalité, avoir un but légal et légitime au regard de l’activité professionnelle de la personne l’effectuant.

Le responsable de traitement est la personne, physique ou morale, qui détermine, seule ou conjointement, la finalité et les moyens du traitement.

Le sous-traitant est la personne, physique ou morale, qui traite des données à caractère personnel pour le compte du responsable de traitement.

Le destinataire du traitement est la personne qui reçoit la communication des données à caractère personnel.

Quels sont les droits des personnes sur leurs données à caractère personnel ?

Les personnes dont les données sont utilisées par des organismes disposent de différents droits sur leurs données à caractère personnel dont les organismes doivent permettre la mise en œuvre.

  • Le droit d’information

L’organisme traitant des données personnelles doit fournir aux personnes concernées par les traitements effectués une information claire sur la finalité des traitements, l’utilisation faite de leurs données et sur l’exercice de leurs droits.

Il convient notamment d’indiquer aux personnes concernées :

  • Les coordonnées du délégué à la protection des données de l’organisme ;
  • L’utilisation faites des données
  • Les destinataires des traitements
  • La durée de conservation des données
  • Les droits dont la personne dispose
  • L’utilisation des données hors UE
  • Le droit d’opposition

Les personnes peuvent s’opposer à tout moment à l’utilisation de ses données à caractère personnel.

La personne concernée doit mettre en avant les « raisons tenant à sa situation particulière » justifiant sa demande sauf en cas de prospection commerciale à laquelle il est possible de s’opposer sans motif.

L’organisme traitant des données personnelles peut s’opposer à cette demande et continuer à traiter les données s’il dispose de motifs légitimes et impérieux ou s’il justifie que les données en cause sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.

  • Le droit d’accès

Toute personne peut solliciter de l’organisme traitant ses données à caractère personnel qu’il lui communique les données qu’il contient sur elle afin qu’elle puisse en vérifier le contenu, l’exactitude afin, si cela est nécessaire, de les faire rectifier ou effacer.

L’organisme auprès duquel le droit d’accès est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (fichiers de police, gendarmerie ou renseignement, secret des affaires, droits de propriété intellectuelle etc.)

Attention, seules les données relatives à la personne qui en fait la demande peuvent lui être communiquées, aucune données de tiers ne peut lui être transmise.

  • Le droit de rectification

Les personnes concernées par un traitement de données à caractère personnel peuvent demander la rectification des informations inexactes ou incomplètes.

L’organisme auprès duquel le droit de rectification est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Pour certains fichiers (notamment ceux de police, gendarmerie, renseignement) l’exercice du droit de rectification sera soumis à une procédure différente.

  • Le droit à l’effacement

Toute personne concernée par un traitement de données personnelles peut demander à l’organisme qu’il procède à l’effacement des données à caractère personnel le concernant et ce notamment si :

  • Les données sont utilisées à des fins de prospection ;
  • Les données ne sont plus nécessaires au regard des objectifs pour lesquels elles avaient été collectées ou traitées ;
  • Le consentement sur l’utilisation faite des données est retiré ;
  • Les données ont été collectées alors que la personne était mineure ;
  • L’effacement est justifié par le respect d’une obligation légale.

L’organisme auprès duquel le droit à l’effacement est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (exercice de la liberté d’expression, respect d’une obligation légale, constatations, exercice ou défense de droits en justice etc.)

  • Le droit au déréférencement

Il est possible de solliciter d’un moteur de recherche (par exemple Google), qu’il supprime certains résultats de recherches associés à vos noms et prénoms.

Attention, cette suppression de résultat ne signifie pas l’effacement du contenu sur internet mais seulement des résultats de recherches pour ces mots clés. Il sera donc possible d’accéder au contenu en utilisant d’autres mots clés de recherches ou en allant directement sur le site.

  • Le droit à la portabilité

Le droit à la portabilité permet à toute personne concernée par un traitement de données personnelles de récupérer une partie de ses données dans un format lisible, pour un usage personnel ou les transmettre à un tiers de son choix.

 

 

Les obligations des organismes traitant des données personnelles

Différentes obligations sont à la charge des organismes, privés ou public, traitant des données à caractère personnel.

Afin d’être en conformité avec le RGPD, les organismes doivent notamment :

  • Respecter le principe de protection des données personnelles

Le principe de protection des données à caractère personnel et de la vie privée doit être respecté dès la conception du traitement et par défaut (« privacy by default » / « privacy by design »).

Ce principe se décompose, outre le respect des droits des personnes, en quatre grands principes :

  • Le principe de finalité: les données personnelles ne peuvent être traitées que dans un but précis, légal et légitime.
  • Le principe de proportionnalité et de pertinence : les données personnelles traitées doivent être pertinentes, strictement nécessaires, adéquates et non excessives au regard de la finalité du traitement.
  • Le principe de conservation limitée : les données personnelles ne peuvent être conservées que pour une durée limitée qui doit être fixée en fonction du type d’information concernée et de la finalité du traitement.
  • Le principe de sécurité et de confidentialité : le responsable de traitement doit garantir la sécurité et la confidentialité des données personnelles traitées (accès restreint aux données, respect de l’intégrité des données, protection des données etc.)

 

  • Tenir un registre des traitements effectués

Le registre des traitements de données à caractère personnel effectués permet de recenser les traitements de données en identifiant avec précision les personnes intervenant dans le traitement, les données traitées, l’utilité des données, les destinataires des données, la durée de conservation des données et leur mode de sécurisation.

  • Documenter la conformité au RGPD

Il appartient aux organismes traitant des données personnelles de se constituer une documentation afin de prouver leur conformité au RGPD.

Le dossier de conformité devra notamment contenir :

  • Le registre des traitements effectués ;
  • Les analyses d’impact relatives à la protection des données pour les traitements concernés ;
  • L’encadrement des transferts de données hors Union européenne ;
  • Les mentions d’information des personnes concernées par les traitements effectués ;
  • Les modèles de recueil du consentement de ces personnes ;
  • Les procédures mises en place pour l’exercice de leurs droits ;
  • Les contrats conclus avec les sous-traitants ;
  • Les procédures internes mises en place en cas de violations de données personnelles.

 

  • Notifier la violation de données personnelles

Le RGPD impose désormais aux organismes traitant des données à caractère personnelles de traiter en interne les violations des données personnelles et de notifier celles présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, aux personnes concernées par le traitement.

La violation de données est caractérisée dès lors qu’un traitement de données à caractère personnel a été mis en place et que les données traitées ont fait l’objet d’une violation, accidentelle ou illicite, comme la perte d’intégrité ou de confidentialité de la donnée personnelle.

Il appartient aux organismes, en interne, de déterminer la nature de la violation, les données et personnes concernées par la violation, les conséquences de la violation et les mesures prises ou envisagées pour atténuer les conséquences et/ou éviter qu’une telle violation se reproduise.

L’ensemble de ces informations doit être consigné dans un document qui devra, si la violation présente un risque pour les droits et libertés des personnes, être remis à la CNIL dans les 72 heures suivant la constatation de la violation.

  • Réaliser une étude d’impact des traitements à risque

L’analyse d’impact relative à la protection des données est nécessaire lorsque le traitement envisagé est susceptible, compte tenu de sa nature, sa portée, son contexte et ses finalités, d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple une atteinte à la confidentialité, la disponibilité ou l’intégrité des données traitées).

L’analyse d’impact doit être effectuée avant la mise en œuvre du traitement et contient notamment :

  • Une description des opérations de traitement envisagées et les finalités du traitement ;
  • L’évaluation de la nécessité et proportionnalité des opérations de traitement par rapport aux finalités de celui-ci ;
  • L’évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques.
  • Désigner un DPO

Dans certains cas, le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données (DPO pour « Data Protection Officer »).

Tel est le cas lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Bien que pour les autres organismes la désignation ne soit pas obligatoire, elle est vivement encouragée par les autorités car elle permet de confier à une personne disposant d’une expertise technique les actions à mener par l’organisme en matière de données personnelles.

En effet, le DPO est chargé de mettre en œuvre la conformité du responsable de traitement ou du sous-traitant au RGPD et doit notamment :

  • Informer et conseiller l’organisme qui l’a désigné sur les actions à effectuer ;
  • Contrôler le respect du RGPD ;
  • Conseiller l’organisme qui l’a désigné sur l’analyse d’impact à réaliser ;
  • Coopérer avec la CNIL.

Il doit disposer de compétences juridiques et techniques en matière de protection de données personnelles, avoir une bonne connaissance de l’activité de l’organisme et des traitements effectués par celui-ci et pouvoir exercer sa mission de DPO en toute indépendance

  • S’assurer du respect des droits des personnes concernées par les traitements effectués

Les personnes dont les données personnelles sont collectées et traitées disposent de différents droits que le responsable de traitement et le sous-traitant doivent respecter.

L’organisme traitant des données à caractère personnel doit donc s’assurer que des procédures permettant aux personnes concernées par les traitements effectués d’exercer leurs droits sont mises à leur disposition.

 

 

 

Le RGPD : qui est concerné ?

Le Règlement général sur la protection des données (RGPD) s’applique à tout organisme, public ou privé, traitant des données à caractère personnel pour son compte ou non (sous-traitant) dès lors :

  • Qu’il est établi sur le territoire de l’Union européenne ;

ou

  • Que son activité cible directement de citoyens européens.

 

Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement.

Le RGPD : comment se mettre en conformité ?

Entré en vigueur le 25 mai 2018, le RGPD impose aux organismes traitant des données à caractère personnel un certain nombre d’obligations.

Afin de se mettre en conformité avec le RGPD, les organismes doivent notamment :

  • Désigner un pilote

Dans certains cas, le RGPD impose la désignation d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).

  • Constituer un registre des traitements effectués

Le registre des traitements effectués permet d’avoir une vue d’ensemble sur les traitements opérés. Selon la CNIL, cette cartographie doit permettre de répondre aux questions Qui ? Quoi ? Pourquoi ? Jusqu’à quand ? Comment ?

Elle permet de vérifier l’utilité des données traitées par l’organisme et le respect de ses obligations.

  • Identifier les actions prioritaires

L’organisme doit déterminer s’il respecte ses obligations afin de déterminer les actions devant être menées pour se mettre en conformité avec le RGPD.

  • Gérer les risques

Lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est nécessaire de réaliser une analyse d’impact et ce, avant la mise en œuvre du traitement.