RGPD : le nouveau règlement européen sur la protection des données

• Thiébaut Devergranne

Le règlement européen en matière de protection des données personnelles (RGPD – ou GDPR en anglais) est la nouvelle réglementation européenne qui change la manière dont les organisations doivent gérer les données des personnes avec qui elles interagissent (clients, prospects, employés, partenaires…). 

La nouveauté tient pour l’essentiel au fait que le régulateur européen a prévu des montants de sanction considérables en cas de non-respect : 

  1. 20 millions d’euros pour les PME
  2. jusqu’à plusieurs milliards d’euros de sanctions pour les grands groupes (4% du CA global du groupe). 

D’un point de vue strictement juridique, le règlement européen est identique à quasiment 80% à la règlementation ancienne (la directive 95/46 CE qui était en vigueur avant). 

En toute transparence, j’ai eu l’honneur de conseiller les services du Premier Ministre en qualité d’expert national pendant l’élaboration du texte et ce dont je peux activement témoigner est l’ampleur de cette réforme.

I. Quand est-ce que le RGPD s’applique ?

La règlementation s’applique à toute organisation qui traite des données personnelles (des données clients, prospects, usagers, employés, etc.). 

Le RGPD s'applique dès lors qu'une organisation traite sur informatique des données qui permettent d'identifier des personnes, directement ou indirectement.

Son champ est donc extrêmement large. En cela, la notion de données personnelles est trompeuse : ce dont il est question ici est de protéger toute données des personnes - et pas leurs données “intimes”. Voici quelques exemples :

D’un point de vue juridique, c’est l’article 4 qui définit cette notion :

1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

Ce point est très important au risque de passer à côté de traitements.

En d’autres termes, si une organisation process un nom, un prénom, un email, une photo, un numéro de sécurité sociale, une adresse IP… sur informatique, le RGPD s’applique, et il faut mettre ce traitement en conformité.

II. Attention aux zones à risque

Si tous les traitements de données personnelles doivent être mis en conformité, le RGPD distingue certains traitements comme étant plus sensible que d’autres. Ces derniers vont alors donner lieu à une application renforcée de la loi – essentiellement en raison des risques pour les personnes. 

Voici quelques exemples :

  1. des traitements de données de personnes en masse (+100.000 personnes – prospects, clients, usagers, employés…)
  2. des données de santé
  3. la segmentation comportementale (certains CRM) - ou des situations ou l’on automatise des prises de décision (ex : attribution de crédits automatiques)
  4. la surveillance de personnes (ex : vidéosurveillance) en particulier en masse
  5. le transfert de données hors de l’Union européenne
  6. les données dites “sensibles” (article 9) : données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ;
  7. les données relatives à des infractions ou des condamnations ou des mesures de sûreté

Dans de tels cas, des règles renforcées seront à mettre en oeuvre (sécurité renforcée, contrôle d’accès renforcé, minimisation des données traitées…).

III. Le nouveau mécanisme de sanctions

C’est indiscutablement le point le plus important de la nouvelle réforme, car à la différence de la règlementation ancienne, le règlement introduit de vraies sanctions. 

A. « Effectives, proportionnées et dissuasives »

En général, la première question que l’on se pose est de savoir si de telles sanctions seront vraiment prononcées. La réponse est oui, j’explique cela en détail ici (un indice : la CNIL n’y est pour rien) :

D’un point de vue juridique il faut observer l’article 83 du RGPD qui détermine la grille de calcul des sanctions qui est très précise :

Article 83 - Conditions générales pour imposer des amendes administratives

1.   Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement (…) soient, dans chaque cas, effectives, proportionnées et dissuasives.

3 critères doivent donc être pris en compte juridiquement pour déterminer le montant de la sanction en cas d’infraction.

Le RGPD impose que les sanctions prononcées soient systématiquement dissuasives

En formation nous réalisons un exercice pratique qui est de prendre un cas ancien de condamnation de Google par la CNIL et on simule une condamnation sur le fondement du RGPD. Les résultats sont systématiquement les mêmes et l’on aboutit à des condamnations aux alentours de 300 millions d’euros en appliquant l’ensemble des critères prévus par le règlement

En effet pour un grand groupe, des sanctions de 100.000€, comme celles qui ont été prononcées par la CNIL avant le RGPD, ne serait pas du tout dissuasive…

B. Quels sont les risques réels ?

Il faut dire que – paradoxalement le « risque CNIL » ne vient pas de la CNIL. Si l’’autorité mène des contrôles réguliers et que l’n note clairement une augmentation du niveau de sanctions, elle n’a pas eu jusqu’à présent une politique de sanctions très agressive. Le vrai risque vient du fait que les montants élevés d’infraction prévus par le RGPD vont offrir des moyens de pression à un nombre important d’acteurs qui vont détourner la protection des données personnelles dans le cas de conflits classiques, tels que :

  • des salariés en conflit avec l’organisation ;
  • des syndicats ;
  • des représentants du personnel ;
  • des associations de consommateurs ;
  • ou des associations de « protection de la vie privée »

Avec des sanctions de l’ordre du milliard d’euros, ces acteurs vont rapidement être en mesure de se payer les meilleurs juristes ou avocats pour faire plier les plus gros acteurs. Dans le process de conformité, il est donc essentiel de se concentrer sur les traitements qui sont susceptibles de générer des conflits judiciaires (RH, consommation…).

IV. Comment se mettre en conformité ?

Évidemment la meilleure protection résulte dans le fait d’être conforme au RGPD. On peut dire schématiquement qu’il existe deux types d’obligations à mettre en place : les obligations communes à toutes les organisations et celles qui doivent être respectées pour chaque traitement de données personnelles mis en oeuvre.

A. Les obligations communes à toutes organisations

La première étape est clairement la mise en oeuvre du registre des traitements de données personnelles. Avant l’entrée en vigueur du règlement, on procédait à une déclaration à la CNIL. Cette déclaration n’existe plus, et elle est remplacée par un registre interne sur lequel doivent figurer l’ensemble des traitements de données personnelles. Pour la tenue du registre, il existe des logiciels qui simplifient considérablement les choses. Attentions toutefois, le registre des traitements n’est pas le seul à devoir être mis en place, il en existe deux autres (registre sous-traitant, et registre des incidents de sécurité) que j’explique en détail ici :

Une fois ces registres mis en place, il faut recenser l’ensemble des traitements mis en place au sein de l’organisation puis entrer dans leur mise en conformité. Il peut être utile d’avoir un DPO pour vous aider dans la mise en place du RGPD mais c’est plus une option qu’une obligation (sauf pour le secteur public).

B. Les obligations propres à chaque traitement

L’obligation majeure qui nécessite en pratique le plus de travail est de documenter l’état de sa conformité. C’est-à-dire qu’il doit détailler le fait que toutes les obligations imposées par le règlement sont bien respectées. Cette obligation résulte de deux articles, l’article 5 et l’article 24 :

Article 5

Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Article 24

1.   Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

Cette obligation est lourde en pratique puisqu’on doit dans un premier temps recenser l’ensemble des traitements de données personnelles et ensuite documenter le fait que chaque obligation est bien respectée. J’ai déjà procédé à une étude assez détaillée des actions qui doivent être mises en oeuvre pour chaque traitement qui vous donnera une idée du processus de conformité.

Pour le faire de manière sérieuse, il est indispensable de faire une formation car le méandre des obligations est trop complexe et il faut au moins deux jours pour appréhender les actions et les outils à mettre en oeuvre. 

Je rappellerai donc ici simplement – et de manière synthétique – quelques-unes des actions que le responsable du traitement doit mettre en oeuvre afin d’illustrer le travail qui doit être effectué.

1. Minimiser les données personnelles collectées

Le principe imposé par le RGPD est que l’on doit collecter le minimum de données personnelles, celles-ci devant être systématiquement (article 5) :

« adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)»

L’exemple classique est la newsletter ; avant l’entrée en vigueur du RGPD, il était légal de collecter tout type de données, tant que cela n’était pas “excessif”. Au 25 mai 2018, il n’est plus possible de collecter que les données qui sont strictement nécessaires à cette fin. En l’occurence : l’email (indispensable), peut-être le prénom (à condition d’en justifier), et c’est tout.

Et, il est nécessaire de mener cette analyse pour toutes les données collectées (paye, données RH, …).

2. Mettre en place vos mentions légales RGPD

Dans les obligations importantes qui existaient depuis la règlementation ancienne est la transparence vis-à-vis de l’utilisateur. Celle-ci se traduit par l’affichage de mentions légales lors de la collecte des données – de sorte que l’utilisateur sache qui est le responsable du traitement et ce que l’on va faire de ses données.

Dans les éléments à indiquer à l’utilisateur se trouvent notamment (art. 13) :

  • l’identité et les coordonnées du responsable du traitement ;
  • le cas échéant, du représentant du responsable du traitement – le cas échéant, les coordonnées du délégué à la protection des données ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ;
  • la base juridique du traitement ;
  • les destinataires – ou les catégories de destinataires des données à caractère personnel ;
  • la durée de conservation des données à caractère personnel ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle
  • etc.

L’idée derrière ces mentions est de s’assurer que l’utilisateur ait vraiment consenti au traitement de ses données, voici une petite histoire qui illustre le problème :

3. Avoir une base légale (consentement, contrat…)

On discute beaucoup de la nécessité d’obtenir le consentement des personnes, mais la réalité juridique est que le consentement n’est qu’une seul des 6 bases légales prévues par le règlement ; on mentionnera les trois premières ici, tirées de l’article 6 pour l’exemple :

Article 6

1.Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a)la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)  le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis(…)

Le consentement n’est donc pas nécessaire dans toutes les situations pour procéder au traitement de données personnelles (l’exemple type est que les impôts auraient du mal à collecter des données autrement…). On est par exemple naturellement en droit de traiter de ces données dans les cas ou la loi ou le règlement l’imposent, tels qu’en matière de droit du travail (collecte d’éléments d’information par l’employeur permettant le calcul de la retraite), de médecine du travail, de facturation (obligation de conserver des factures pendant un certain délai de prescription), etc.

Mais, en tout état de cause, il faut une base légale, et celle-ci doit être tracée et vérifiée pour chaque traitement.

4. Éviter de traiter des données sensibles (art. 9)

Autre obligation importante tient au fait de ne pas traiter des données sensibles hors les cas spécifiques prévus par la loi. La première question est déjà de déterminer si vous opérez un traitement de données sensible au sens RGPD. En effet il est important de ne pas confondre « données sensibles » pour l’entreprise et « données sensibles » au sens RGDP, ces dernières étant les données à caractère personnel qui révèlent :

  • l’origine raciale ou ethnique ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l’appartenance syndicale ;
  • le traitement des données génétiques ;
  • des données biométriques aux fins d’identifier une personne physique de manière unique ;
  • des données concernant la santé ;
  • des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

Par principe, la collecte, le traitement, ou la conservation de ces données est interdit, sauf exception mentionnée à l’article 9 du règlement. Voici quelques exemples d’exceptions :

  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée (ex : souvent le cas lorsqu’il est nécessaire de procéder à une greffe d’organe)
  • lorsque le traitement est nécessaire par exemple en matière de droit du travail, de la sécurité sociale et de la protection sociale (l’exemple classique est la médecine du travail)

Le traitement de ces données va augmenter substantiellement les risques – autant que les mesures de protection à mettre en place, leur incidence en termes de complexité et de risques est donc tout à fait significative.

Un DPO n’est pas nécessaire dans la majorité des cas

Contrairement à une idée fausse – il n’est pas nécessaire de nommer un DPO. En réalité le règlement ne prévoit que la nomination dans trois cas particuliers :

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Autrement dit vous devez nommer un DPO si :

  • vous êtes un organisme public ;
  • vous mettez en place des moyens de suivi régulier à grande échelle ;
  • vous traitez des données sensibles à grande échelle

Par contre il est essentiel d’avoir un pilote fonctionnel qui sera en mesure de mener à bien un projet de mise en conformité de l’organisation, sans quoi les actions de conformité ne seront jamais vraiment menées – ce qui est un risque réel.

Comment se mettre en conformité et limiter ses risques en pratique ?

Au-delà des exemples que l’on a pu prendre pour illustrer les actions de conformité qui doivent être menées, le RGPD va impacter les organisations à de nombreux titres ; voici un plan d’action simple et quelques remarques en fonction de la taille des entités juridiques.

Il faut noter que les entreprises sont actuellement sous pression pour acheter des solutions  souvent totalement inutiles, car faites par des personnes qui n’ont aucune compréhension sur le sujet du RGPD. La CNIL elle-même a averti les entreprises du nombre croissant d’arnaques au RGPD. J’ai personnellement pu voir un éditeur de logiciel RGPD soutenir publiquement que le règlement s’appliquait uniquement aux entreprises de plus de 250 personnes – ce qui est complètement erroné et montre une compréhension proche de zéro de la réalité des obligations légales (comment en faire un logiciel ensuite ?). Fort heureusement, il existe de vraies solutions logicielles RGPD qui fonctionnent, donc il est important de pouvoir faire le tri.

À ce titre, j’insiste sur la nécessité de se former d’abord – pour comprendre le sujet, avant de prendre une décision d’achat quant aux solutions qui sont vraiment utiles.

En général les personnes qui passent par une formation revoient totalement leur politique d’achat – ce qui leur permet d’allouer les bonnes ressources sur les bons risques. Malheureusement, beaucoup d’audits menés dans les entreprises laissent à désirer faute de méthodologie et de compréhension des risques réels (ex : recenser les données personnelles ne sert à rien – il faut recenser les traitements…).

Ce plan a pour objectif de réduire les risques, mais il n’a pas pour objectif d’arriver à une conformité à 100% qui est très couteux. Il doit être adapté en raison de la nature de l’activité de l’entreprise – si l’entreprise met en place des traitements de données sensibles – ou si elle a une forte activité IT -, mais au moins l’idée est de donner des lignes directrices.

Pour les TPE – moins de 10 salariés

Pour les TPE l’avantage est qu’elles mettent en place un faible nombre de traitements. Pour elles, les actions de conformité consistent essentiellement à :

Coût minimum : 2.000€ (150€ logiciel de gestion du registre + 1850€ de coûts de conformité la première année, ensuite qui vont diminuer avec le temps).

Pour les entreprises de 10-100 salariés

Ici, l’entreprise doit ici comprendre ses risques propres de sorte d’être en capacité de les maîtriser. Il est donc avant tout nécessaire de former son personnel interne afin d’appréhender les traitements sur lesquels travailler en priorité :

  • formation de la DAJ / DSI / RH (une personne)
  • recensement de l’ensemble des traitements mis en oeuvre par l’organisation – au-delà des traitements standards
  • travail appuyé sur la conformité des applications et logiciels utilisés par l’organisation – analyse des sous-traitants et de leur localisation géographique
  • audit interne
  • sensibilisation interne des acteurs concernés (direction, marketing, RH, commerce)

Coût minimum : 5k€-10k :

  • 2k€ de formation
  • 500€ /an pour la gestion du registre
  • 2.5k€ pour le remplacement de logiciels
  • En fonction des risques, un accompagnement / audit – mais l’entreprise sera déjà en mesure de bien déterminer ses zones sensibles d’elle-même

Typiquement une entreprise de 50-100 salariés met en oeuvre une 20aine de traitements qu’il faudra mettre en conformité.

Entreprises de 100-1000 salariés

Ici la masse des traitements est beaucoup plus importante – en général avec de nombreuses applications utilisées pour le marketing, et des conflits réguliers au niveau des RH (licenciements). Cela va augmenter le risque inhérent au traitement de données personnelles qui seront également traités en plus gros volumes. Cela implique également plus de sécurité, et une probabilité plus importante d’avoir des données sensibles.

Voici un plan d’action pour une société de 500 employés:

  • Formation du DAJ / DSI / RSSI / responsable marketing
  • nomination d’un poste de pilote DCP
  • recensement de l’ensemble des traitements mis en oeuvre par l’organisation – au-delà des traitements standards
  • travail appuyé sur la conformité des applications et logiciels utilisés par l’organisation – analyse des sous-traitants et de leur localisation géographique
  • audit interne complet
  • sensibilisation complète des acteurs concernés (direction, marketing, RH, commerce)
  • mise en place de relais CIL interne
  • mise en place d’une structure qui puisse gérer la gouvernance des SI avec la partie DCP.
  • PSSI – et mise en oeuvre d’études de sécurité pour les traitements les plus sensibles

Coût minimum : 20k€-50k :

  • 2k€x4 de formation – former ses personnels en plusieurs étapes est une bonne chose
  • 1000€ /an pour la gestion du registre
  • 15k€ pour un audit interne avec plan d’action
  • 5K€/an pour suivi du plan d’action
  • Un budget spécifique doit également être alloué pour le remplacement de logiciels non conformes

Entreprises de plus de 1000 salariés

Les entreprises de plus grosse taille doivent prévoir des relais DPO et une organisation beaucoup plus structurée en termes de protection des données personnelles. Il faut former les personnels internes sur 3 schémas différents :

  • formation direction (2h)
  • formation DPO – 2jours – 10 personnes
  • sensibilisation des relais DPO – 1/2 journée à 1j – pour 20 à 300 personnes

Un plan d’audit doit être mis en oeuvre ainsi qu’une batterie de mesures de sécurité – PIA, audits constants, etc.

Les coûts de conformité varient entre 300€ par employé à 900€ par employé en fonction de la nature de l’entreprise, de ses traitements, les efforts effectués avant, etc.

J’espère que cette étude vous aura permis de vous donner quelques lignes directrices, et vous faire progresser dans la conformité au règlement. N’hésitez pas à venir nous rejoindre en formation !


Commentaires...

Start Me Up

Merci beaucoup pour tous ces détails très informatifs et très clairs.

Une petite remarque, qui servira d'exemple concret de conformité, concernant legiscope.com lié dans cet article. J'ai bien l'impression que leur formulaire d'inscription à la liste d'attente n'est pas en conformité. Il informe par une phrase que je serai inscrit sur liste d'attente par mailchimp, mais le formulaire de souscription ne me propose pas une démarche de consentement actif de ma part en cochant une case vide me permettant de donner volontairement et activement mon approbation pour être inscrit sur cette liste avant de cliquer sur le bouton d'inscription.

Sur le web je vois beaucoup d'explications concernant les formulaire de type inscription à une liste ou newsletter, et il semblerai que ces formulaires doivent comporter un case vide à cocher avant de pouvoir clique sur le bouton d'inscription.

Ai-je raison ? Dans ce cas c'est un comble pour legiscope qui aide à être en conformité !

Thiébaut Devergranne

C'est une excellente question ! Il n'est pas nécessaire d'avoir une case à cocher en fait, ce qu'il faut c'est un consentement - c'est-à-dire un acte positif de l'utilisateur. Le fait d'ajouter votre email et cliquer sur un bouton qui indique que vous vous inscrivez à une newsletter ou une liste d'attente par exemple est tout à fait conforme. Ce qui ne serait pas conforme par exemple ce serait qu'une personne utilise votre email pour vous inscrire sans que ayez demandé quoi que ce soit.

Laure-Hélène

Bonjour,

On parle essentiellement d’entreprises ou d’organismes de taille importante, qu’en est-il d’une association sans but lucratif qui recueille sur un simple tableau Excel, non mis en ligne mais stocké sur un ordinateur fixe, les données basiques de ses adhérents (nom prénom adresse téléphone email) ? Par ailleurs les adresses email des adhérents (sans autre information associée) sont rassemblées dans un groupe d’adresses sur un logiciel de messagerie internet).

Cette association a-t-elle une démarche spécifique à faire auprès des autorités (en dehors d’une information à ses adhérents) ?

Gontier

Traitement des données personnelles, DPO et Education Nationale ...

Si on considère que les établissements d'enseignement public sont des organismes publics et donc soumis à l'obligation de nommer un DPO et s'astreindre à ne collecter QUE les données réellement nécessaires à leur fonctionnement, une question va se poser quant aux divers documents obligatoires à remplir pour tous les parents d'élèves qui doivent s'astreindre chaque année à remplir des documents où certaines informations demandées ne sont, je pense, pas nécessaires, pour la poursuite des études de leur progéniture.

Quid de demander la profession des parents, leur classification professionnelle ?

Si certaines informations sont nécessaires, j'en conviens, à l'heure (ces temps-ci) où les parents reçoivent la " fameuse" fiche "siècle" (fiche qui reprend toutes les informations dites "sensibles" , il est ahurissant de constater que ces dites fiches circulent librement dans les mains des élèves (et peuvent être égarées, "empruntées" pour rigoler (si, si !)).

Je reçois ce soir cette fameuse "fiche siècle" et j'ai la formidable surprise de voir, que toutes mes informations personnelles ont été " remplacées" (une erreur d'enregistrement au niveau de l'académie ???) par l'intégralité des coordonnées d'une autre personne. J'ai donc accès à tous ses numéros de téléphone (perso, mobile, mobile 2, professionnel) , accès à son adresse, sa profession, sa catégorie professionnelle, son adresse mail personnelle, et d'autres informations sensibles qui sont demandées sur ces fameuses fiches de renseignements scolaires ...

Je reste donc dubitative sur les compétences de l'état et des administrations publiques à gérer consciencieusement les informations que nous leur délivrons, peut-être trop en confiance ...

Dès demain, l'établissement en question va pouvoir recevoir de ma part une notification, qui sera fort désagréable.

Il n'y a peut-être eu qu'un seul dossier dont les données personnelles ont été mal gérées, un seul dossier où mes propres données personnelles "voguent" dans la nature ... un seul dossier où plusieurs identités ont été interverties ....

Pas de chance ...

Je suis gestionnaire QHSE ... et l'académie va m'entendre.

Votre article est très intéressant et je vais conserver le lien ... j'ai des adresses à qui le transmettre ...

Cordialement ,

baudry

et que dites vous pour le nouveau compteur LiNKY

Service qualité

Merci pour cette présentation synthétique et souvent opérationnelle.

Une petite question complémentaire relative au registre des traitements que l'on tient en tant que sous-traitant.

Doit-il être décliné PAR client ? en effet, les traitements, les finalités voire les mesures de sécurité (bien que n'apparaissant pas dans le dit registre) peuvent être différentes d'un client à l'autre.

vous remerciant par avance pour vos remarques


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)