Aller au contenu

Le RGPD pour les (très) petites entreprises

  • RGPD

L’objectif du RGPD (Règlement Européen de Protection des Données personnelles) est de protéger les données personnelles des citoyens européens dans un contexte de cybercriminalité. L’objectif de ce règlement est l’harmonisation des droits nationaux au sein de l’Union Européenne.

Il y a une partie juridique et une partie technique liées à la mise en oeuvre de cette protection.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle correspond à toute information qui permet d’identifier quelqu’un. (Article 4 du RGPD).

Voici une liste non-exhaustive :

  • le nom et le prénom
  • l’adresse ou toute autre donnée de localisation,
  • un numéro de téléphone
  • un numéro de carte de paiement, carte vitale…
  • les critères physiques : mensurations, couleur des yeux ou des cheveux
  • le caractère de la personne
  • le comportement d’une personne
  • les croyances ou appartenances religieuses (attention : données sensibles)
  • les éléments médicaux (attention : données sensibles)
  • un RIB / IBAN
  • identifiant
  • une photo ou une  vidéo
  • un mail ou une conversation par mail
  • etc

Définition de la CNIL d’une donnée sensible : “Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle.”

Qui est concerné ?

Article 32 du RGPD : RGPD oblige le responsable du traitement à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ce faisant, il doit tenir compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques

Quelles activités sont concernées ?

Le RGPD concerne l’ensemble des éléments traités par une entreprise, à tous les niveaux :

  • Ressources humaines,
  • Commercial
  • Achats
  • Partenariats,
  • Réseau d’entreprises,
  • Informatique
  • etc…

Donc la totalité du personnel est concerné.

Qui est responsable ?

Il est à noter que les procédés informatisés ne sont pas les seuls concernés. Les documents papier le sont également.

Le principe

Le principe fondamental qui est posé par la loi Informatique et Liberté de du 6 janvier 1978 modifiée le 06/08/2004 et le 14/05/2018 est le principe de responsabilisation des acteurs.Cela veut dire qu’on n’a plus de déclaration à faire à priori, mais un registre des traitements à tenir à jour. C’est l’entreprise qui est responsable des traitements des données qu’elle effectue et de la protection de ces données. Elle a obligation de documenter sa conformité. En cas de perte ou de vol de données, il faut en avertir immédiatement la CNIL et le propriétaire des données, et au plus tard dans les 72 heures.

La mise en application

Chaque entreprise, chaque succursale, doit tenir un registre des traitement qui doit être régulièrement mis à jour et documenté.

Pour cela, il doit y avoir une personne responsable du traitement (RT) qui doit être en mesure de démontrer que le traitement est effectué en conformité au RGPD, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques et du degré de probabilité d’une atteinte aux droits des personnes. (Art 24 RGPD).

Selon l’Art 5 RGPD : Les finalités de la collecte de données doivent être explicites et légitimes, adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les données doivent être traitées

  • de manière licite, loyale et transparente.
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
  • exactes et, si nécessaire, tenues à jour.
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités.
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

Quelques exemples concrets de risques à analyser

La collecte de cartes de visites

Je récupère une carte de visite lors d’un entretien, sur un salon, ou lors de réseautage, que vais-je en faire ? La conserver : pourquoi ? et pendant combien de temps ? L’ajouter à ma base de contacts : dans quel but ? Ai-je l’accord de son propriétaire ? Combien de temps vais-je conserver les données ? Sur quel(s) support(s) ? Quels sont les moyens que je mets en place pour protéger ces données ? Quelles actions puis-je mener en cas de perte ou de vol de données ? Autant de questions à se poser.

La carte pour la machine à café.

Cela a l’air anodin, mais le numéro de carte est rattaché à un propriétaire qui peut être identifiable dans une base de données, même si n’a pas de nom dessus. Qui a accès à cette base de données ? Comment est-elle protégée ? Combien de temps ces données sont-elles conservées ?

Les données d’un salarié dans l’entreprise

Aujourd’hui, un salarié peut demander un dédommagement, pour une maladie professionnelle ou une aggravation de son état de santé consécutive à un accident du travail,  plusieurs années après. C’est le cas pour l’amiante, la silicose, et autres maladies, sans parler des TMS ou autres maladies psychiques.

Cela signifie, que l’entreprise peut être renvoyée devant un juridiction parfois quelques décennies plus tard avec la remise en cause des conditions de travail.

Donc se pose la question de la conservation du dossier du salarié (contrats et avenants, fiches de paie, arrêts de travail, correspondances, certificat de la médecine du travail…) et de la protection des données qui sont à l’intérieur.

La réparation d’un ordinateur par un prestataire

Lorsque je donne mon ordinateur à réparer par un professionnel, ou lorsque je demande à un professionnel d’assurer la maintenance de mon réseau informatique, il a potentiellement accès à toutes les données de l’entreprise. Est-il en conformité avec le RGPD ? A-t-il accès à des données “en clair” ? Que risque-t-il de faire de ces données ? Comment protéger les données ?

Il en est de même avec le responsable informatique de l’entreprise. Il doit être en mesure de répondre des traitements qu’il effectue, de la conservation et de la protections des données de l’entreprise, cela doit figurer dans son contrat de travail.

Le télétravail de l’un des collaborateurs

Un collaborateur, pour des raisons tout à fait louable, décide de travailler à partir de son domicile. Avec quel ordinateur ? Celui du bureau ? Son ordi personnel ? Celui du petit dernier qui est à l’école ? Quelles traces les données traitées laisseront-elles sur le disque dur de l’ordinateur ? Si le petit dernier utilise l’ordinateur pour jouer (en ligne) et télécharger des choses, n’y a-t-il pas un risque de contamination des documents ? des fichiers échangés avec l’entreprise ? du serveur de l’entreprise ?

La gestion des certificats médicaux dans un club sportif

Outre la liste des membres et autres adhésions, il n’est pas rare de voir traîner les certificats médicaux des membres dans les locaux de l’association. Or, un certificat médical est réputé être un document sensible. Ensuite, lors des compétitions, il est souvent transféré aux organisateurs qui, de fait, deviennent co-traitants de l’information puisqu’ils transmettent ensuite à la Fédération et à la Ligue. Donc, le dirigeant du club et son bureau doivent réfléchir au problème : Qui a accès aux adhésions ? à la liste des membres ? aux certificats médicaux ? Comment les stocker ? Comment les archiver ? Où ? Pour combien de temps ?

Quels traitements des données ? Dans quel but ? Quels risques y a-t-il dans le cadre d’un envoi d’info à un organisateur ? à la Fédé ? à la Ligue ? Comment gérer ces risques ? Quelles procédures mettre en place ?

Quels sont les risques ?

Les risques d’être sanctionné par la CNIL sont faibles dans la mesure où elle a peu de moyens pour contrôler. La sanction pourra atteindre 20 millions d’euros ou 4% du CA mondial d’une entreprise.

En revanche les risques judiciaires sont plus importants : procédure aux prudhommes d’un salarié, plainte d’un client….

Le risque pénal peut être de 5 ans d’emprisonnement et 1 500 000 euros d’amendes.

Le risque civil pourra se composer des dommages intérêts à verser à la victime associé ou non à l’interdiction d’utiliser un fichier.

Il peut aussi être question de remise en cause d’un partenariat ou d’une sous-traitance pour non conformité. C’est notamment le cas actuellement avec les administrations ou avec les entreprises qui sous-traitent avec le milieu médical ou le nucléaire. Ceci aboutit à une perte de marchés et éventuellement à des licenciements.

Quelles sont les démarches à effectuer ?

Sécuriser les outils informatiques et mobiles

Crypter son ordinateur au démarrage.

Installer un antivirus, un anti-malware, un anti-spyware et un firewall sur tous les appareils de l’entreprise : ordinateur fixes et portables, smartphones et tablettes et mettre régulièrement à jour le niveau de sécurité en fonction de l’état de l’art.

Avoir chacun un mot de passe différent et ne pas se communiquer les mots de passe. chaque utilisateur doit posséder des mots de passe différents pour chaque chose : boite mail, logiciel de compta, déverrouillage de l’ordinateur, accès à l’interface d’administration du site web, logiciel de caisse…Si une même personne a besoin de plusieurs mots de passe, dans le cadre de son activité, utiliser un coffre fort individuel à mots de passe.

Crypter les conversations : mails, visio-conférence…

Cartographier les activités de traitement

Recenser toutes les données dans l’entreprise et qui y a accès :

  • données RH : attention aux données sensibles
  • tenue d’un agenda avec le nom et prénom de l’interlocuteur pour chaque RDV
  • Newsletter
  • mails de prospection commerciale
  • conversation par mail avec un client (proposition commerciale / sav)
  • réalisation de documents comptables : devis / bons de commandes / bons de livraison / factures / relances
  • logiciel de caisse
  • envoi de fichier au comptable
  • site web (cookies, collecte de mails…)
  • etc

ATTENTION : Il existe des données interdites de traitement (Art 9 RGPD) : “Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.”

Concernant les données d’infractions (Art 10 RGPD) : “Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ne peut être effectué que sous le contrôle de l’autorité publique.”

Pour chaque donnée :

  • vérifier qui y a accès et dans quel but : fixer des règles qui limitent l’accès aux données personnelles
  • à chaque fois que c’est possible, réaliser une pseudonymisation
  • vérifier sur quel(s) support(s) est la donnée (ordinateur, clé usb, smartphone, appareil photo…)
  • réaliser un chiffrement des données
  • y mettre une durée maximale de conservation, accompagnée d’un dispositif d’alerte pour soit redemander le consentement de la personne soit la sortir de la base.

Pour la durée de validité des données, justifier ses choix par des éléments objectifs :

  • pour la compta : obligations fiscales de 10 ans
  • pour les clients : tant qu’il y a une garantie obligatoire, par exemple 10 ans pour le BTP
  • prospects : 3 ans
  • salariés : durée illimitée, mais avec archivage au bout de 5 ans (risque de prudhommes)
  • cookies sur le site de l’entreprise : maximum 1 an
  • vidéosurveillance : durée de conservation des images ne peut excéder 1 mois
  • “liste noire” : 3 à 5 ans.

Prouver que le consentement a bien été obtenu par un acte positif et univoque : case à cocher sur un formulaire, double opt-in sur un site, autorisation papier remplie et signée par la personne. Et qui dit consentement, dit possibilité de le retirer à tout moment.

Démontrer l’archivage et la non réutilisation des données, notamment pour les documents liés aux ressources humaines.

La CNIL distingue 3 temps dans le cycle de vie des données à caractère personnel :

  • les archives « courantes » : données actives
  • les archives «intermédiaires» : archivage légal/probatoire limité à un service spécifique et sélectif)
  • les archives «définitives» : suppression ou anonymisation ou archivage à des fins archivistiques / historiques par les services d’archives.

Concevoir une charte des bonnes pratiques dans l’entreprise

Rédiger et faire signer à tous les membres de l’entreprise, y compris aux stagiaires, une charte informatique contenant une politique de confidentialité avec :

  • la problématique des mots de passe
  • le cryptage des données sur l’ordinateur, les serveurs, les tablettes et smartphones
  • utilisation d’un coffre fort numérique sur les périphériques mobiles (clés USB, cartes SD, disques durs externes…)
  • les logiciels utilisés par l’entreprise, avec éventuellement attribution d’une habilitation sur certains applicatifs informatique (ex : logiciel de compta / gesco)
  • le chiffrement des échanges informatisés
  • la politique de sauvegarde et d’archivage
  • gestion des accès partagés (interdire de télécharger et de repartager)
  • attribution d’un badge d’accès aux locaux de stockage ou d’archivage des données
  • notification de violation de données personnelles
  • des sanctions en cas de manquements

et l’annexer au règlement intérieur de l’entreprise.

Formaliser les procédures opérationnelles décrivant les moyens et méthodes d’applications des politiques spécifiques, par exemple une procédure de :

  • Demande d’attribution d’un badge d’accès aux locaux ( formulaire à remplir, circuit éventuel de validation, destinataire de la demande, modalités de restitution…)
  • Demande d’habilitation sur un applicatif informatique
  • Envoi vers l’extérieur d’un fichier de façon sécurisé
  • Notification de violation de données personnelles


Mettre en application ces procédures opérationnelles

Documenter la conformité RGPD des fournisseurs et des sous-traitants

Vérifier la conformité des sous-traitants et co-traitants :

  • Google
  • éditeurs de logiciels
  • comptable,
  • assureur,
  • la SSII ou mieux maintenant : ESN qui s’occupe de la maintenance de votre matériel informatique
  • opérateur(s) télécom
  • etc


Récupérer les éléments (politique de confidentialité, certificat de conformité RGPD…) et les stocker dans le dossier RGPD de votre entreprise.

Pour celles qui n’ont rien, ou en cas de données sensibles (notamment RH), envoyer un questionnaire sur la conformité RGPD.

Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. (Art 28 RGPD)

Imposer une clause RGPD à tous les sous-traitants et co-traitants de vos données. Si vous travaillez avec des courtiers (assurances, prêts…), ils sont co-traitants, car ils fournissent vos données à des assureurs et peuvent changer de prestataire chaque année sur votre contrat. Or, cela est aussi de votre responsabilité vis-à-vis des données personnelles que vous traitez.

Sécuriser les données dans l’entreprise

Mettre en oeuvre un Politique de sécurité des Systèmes d’Information adaptée à la taille et au contexte de l’entreprise, définissant :

  • l’accessibilité aux locaux (sécurité des biens et des personnes)
  • le respect de la strict nécessité ( accès sous autorisation)
  • l’accessibilité au système d’information (disponibilité du système d’information )
  • le respect du «besoin d’en connaître »: assurer que seules les personnes ayant besoin de connaître l’information sont habilitées à y accéder  ;
  • l’intégrité des informations : prévenir l’altération des données et permettre leur restauration ;
  • la non réfutabilité : permettre par le mécanisme de traçabilité de reconstituer une action ;
  • la conformité : respecter les lois et réglementations en vigueur.

Penser à avoir des sauvegardes régulières et un archivage multiples de vos données dans des endroits sécurisés. Et à tester au moins une fois par an les procédures de restauration.

Pour les documents papiers, indiquer comment vous les protégez. Ce peut être une armoire fermée à clés, dans une pièce également fermée. Indiquer qui a accès à la salle, et qui a accès au contenu de l’armoire. Faire le distingo entre les documents de travail et les documents archivés.

Fournir les éléments quant aux méthodes que vous allez utiliser pour la reconstitution des données de votre entreprise en cas de perte ou de vol. Par exemple lorsqu’un disque dur tombe en panne, lorsqu’une clé USB est perdue, lorsqu’un employé perd son téléphone…

Vérifier le respect des droits des personnes :

  • Mentions légales
  • Procédures d’accès et suppression des données
  • Portabilité des données

Notifier la CNIL d’une violation et/ou d’une perte de données à caractère personnel

Dès la connaissance du sinistre, le responsable du traitement doit avertir la CNIL et la personne concernée, et au plus tard dans les 72 heures de la survenance.

Le rapport d’incident doit préciser :

  • la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés
  • les mesures prises ou que le responsable du traitement propose de prendre (dont, par exemple, le chiffrement des bases de données).

Le Registre des activités de traitement des données à caractère personnel


Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.

“Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :

  • les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).”

Pour les co-traitants ou les sous-traitants, un second registre spécifique est obligatoire : il contiendra l’ensemble des traitements que vous ferez pour le compte de vos clients.

Ce registre doit être mis à jour régulièrement en fonction de l’évolution des pratiques dans l’entreprise.

Le PIA (Privacy Impact Assessment)


Dans le cadre de l’analyse d’impact, lorsque les traitements présentent un risque élevé, l’établissement doit intégrer la protection des données dès la conception du projet et démontrer (en amont) de la conformité au RGPD.

Qu’est-ce qu’un risque élevé

Le risque élevé est établi par les autorités de régulation et le G29.

Art 35 RGPD, le PIA est obligatoire lorsque :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.


Le G29, dans son avis WP 248, propose 9 critères permettant d’évaluer une traitement à risque élevé :

  • Évaluation ou notation ;
  • Décision automatisée avec effet juridique ou effet similaire significatif ;
  • Surveillance systématique ;
  • Données sensibles ou données à caractère hautement personnel ;
  • Données personnelles traitées à grande échelle ;
  • Croisement d’ensembles de données ;
  • Données concernant des personnes vulnérables ;
  • Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  • Exclusion du bénéfice d’un droit, d’un service ou contrat.

Quelles sont les démarches supplémentaires à accomplir ?

Pour chaque traitement, le registre devra contenir :

  • une description du traitement,
  • une évaluation de la nécessité d’avoir et de traiter ces données au vue de la proportionnalité
  • une évaluation des risques
  • l’ensemble des mesures envisagées pour faire face au risque

Le PIA doit être mis à jour à chaque changement, ou au plus tard tous les 3 ans.

Qui est concerné ?

Pour les TPE, on peut parler – entre autres – de toutes les professions juridiques, médicales et para-médicales.

Le Délégué à la protection des données (DPD)

Le DPD / DPO et ses missions

C’est une personne qui a reçu une formation juridique et technique, ayant reçu une certification lui permettant d’exercer cette fonction.

Il informe et conseille l’entreprise sur ses démarche de conformité, vérifie la bonne gouvernance de la conformité, forme le personnel de l’entreprise et réalise des audits réguliers pour vérifier la conformité de l’entreprise au RGPD. Il conseille l’entreprise dans la réalisation de l’étude d’impact relative à la protection des données personnelles et en vérifie la bonne exécution. Il coopère avec l’autorité de régulation et fait office de point de contact pour la CNIL et pour les personnes concernées par le traitement de leurs données. Il s’assure de la bonne documentation du dossier RGPD dans l’entreprise.

Le DPD doit pouvoir exercer sa mission en toute indépendance. Ne pouvant être juge et partie, il est nécessairement un professionnel extérieur à l’entreprise.

Dans quels cas l’entreprise doit avoir un DPD ?

Le DPD/DPO est obligatoire dans les cas suivants (Art 37 RGPD) :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Cela signifie que bon nombre d’entreprises travaillant dans le e-commerce ou le dropshipping peuvent être amenées à avoir un DPD/DPO.

Les entreprises qui en ressentent le besoin parce qu’elles n’arrivent pas à se mettre en conformité peuvent aussi faire appel à un Délégué à la protection des données.

Qui sont les tiers autorisés ?


Selon la CNIL, “Un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu’une loi l’y autorise expressément.”

On peut citer, notamment :

  • La police et la gendarmerie sous le contrôle de l’autorité judiciaire
  • L’administration fiscale
  • L’administration des douanes
  • Les organismes de sécurité sociale
  • Tout autre organisme disposant d’un « droit de communication » (dont les huissiers de justice)

Les conditions pour qu’un « tiers autorisés » puisse obtenir des informations contenues dans un fichier :

  • Sa demande doit être écrite et préciser le texte législatif justifiant la demande.
  • Sa demande doit viser des personnes nommément identifiées ou identifiables (le tiers autorisé ne peut pas avoir accès à l’intégralité d’un fichier).
  • Sa demande doit être ponctuelle.
  • Sa demande doit préciser les catégories de données auxquelles il souhaite accéder.

L’exercice des droits de la personne concernée

La personne concernée bénéficie :

  • d’un droit à l’information
  • d’un droit d’accès à ses informations personnelles
  • d’un droit de rectification de ses données personnelles
  • d’un droit d’effacement de ses données personnelles (droit à l’oubli)
  • d’un droit à la limitation des traitements
  • d’un droit à la portabilité des ses données

mais également :

  • d’un droit d’introduire une réclamation auprès d’une autorité de contrôle
  • d’un droit à un recours juridictionnel effectif contre une autorité de contrôle
  • d’un droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant
  • du droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public
  • d’un droit à réparation et responsabilité (dommage matériel ou moral du fait d’une violation du présent règlement)

Quelques ressources

Guide de la CNIL sur la sécurité des données personnelles : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises – CNIL et Bpifrance :

https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf

Modèle d’engagement de confidentialité à faire signer par les salariés : http://www.cil.cnrs.fr/CIL/spip.php?article3024

Check-list pour préparer sa mise en conformité : https://www.12h15.fr/wp-content/uploads/2019/02/bpi-cnil-guide-rgpd-tpe-pme.pdfhttps://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/

Comment chiffrer ses documents et ses répertoires ? : https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires

RGPD : se préparer en 6 étapes – CNIL

https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf

Modèle de registre RGPD, à compléter avec vos activités de traitement : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.rtf

Nouveau modèle de registre RGPD simplifié :

https://www.cnil.fr/sites/default/files/atoms/files/registre-traitement-simplifie.ods

La check-list « informatique et libertés” (source : Guillaume DESGENS-PASANAU, CNAM)

https://www.fun-mooc.fr/asset-v1:CNAM+01032+session01+type@asset+block/Protectiondonnees_1_S1-3.pdf

RGPD : guide du sous-traitant – CNIL

https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

RGPD : Établissements de santé – CNIL

https://www.cnil.fr/sites/default/files/atoms/files/rgpd_-_etablissements_de_sante.pdf

MOOC : Atelier RGPD – CNIL

https://atelier-rgpd.cnil.fr

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *