Débuter

Continuer

Nous vous suggérons de saisir votre adresse mail afin de :

  • Interrompre et reprendre la saisie de vos réponses au questionnaire
  • Pouvoir retrouver vos résultats afin de les revoir
  • Continuez votre questionnaire si vous ne l'avez pas terminé
  • Accédez à vos résultats

Identifiez-vous

Vous n'avez pas laissé votre email

Cela vous permettrait d'accéder à nouveau à votre résultats et de recevoir ultérieurement les résultats consolidés de l'ensemble des participants.

Identifiez-vous

Vous n'avez pas laissé votre email


Cela vous permettra d'accéder à nouveau à votre résultats et de reprendre votre questionnaire si vous le laissez incomplet.

Si vous avez des clients ... Enregistrer et poursuivre plus tard

Le RGPD ne me concerne pas si j’ai anonymisé les données.

Vrai : le RGPD ne s’applique pas aux données anonymisées. Attention car le RGPD s’applique aux données « pseudonymisées » qui, par un ensemble de recoupements, peuvent permettre d’identifier une personne. L’anonymisation suppose que l’identification de la personne soit rendue impossible ou difficile (compte tenu des coûts, du temps nécessaire ou des technologies disponibles).

Le RGPD ne me concerne pas si je n’ai que des fichiers papier.

Faux : le RGPD s’applique aux traitements en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données (dossiers clients ou patients par exemple, liste manuscrite de mauvais payeurs…).

Le RGPD ne me concerne pas si je ne communique à mes clients que des newsletters.

Faux : la liste de diffusion constitue un traitement de données personnelles au sens du RGPD. Le client doit donc en principe avoir accepté de recevoir la newsletter et peut à tout moment se retirer de la liste de diffusion.

Si vous avez des clients ... Enregistrer et poursuivre plus tard

Le RGPD ne me concerne pas si je ne fais que de la prospection.

Faux : la prospection est un traitement de données personnelles qui suppose la possibilité pour la personne concernée de s’y opposer à tout moment.

Le RGPD ne me concerne pas si je n’organise que des événements ouverts à mes clients/prospects.

Faux : l’organisation d’événements suppose le traitement de données personnelles (newsletters, fichiers clients-prospects, billetterie, invitations nominatives, jeux-concours…).

Si vous avez des clients ... Enregistrer et poursuivre plus tard

Le consentement du client est indispensable avant de récupérer ses données.

Faux : Il est possible de collecter, utiliser, traiter des données personnelles lorsque la personne a consenti au traitement de ses données personnelles, mais également lorsque le traitement est nécessaire à l’exécution d’un contrat (auquel la personne est partie), au respect d’une obligation légale à laquelle le responsable est soumis, à la sauvegarde des intérêts vitaux d’une personne (urgences par exemple), à l’exécution d’une mission d’intérêt public ou encore pour la poursuite de l’intérêt légitime du responsable ou du sous-traitant (sauf s’il est contraire aux intérêts des personnes concernées).

Je suis obligé(e) d’informer mes clients de ce que je compte faire de leurs données.

Vrai : le responsable de traitement doit informer la personne concernée de l’existence d’un traitement, des finalités ou objectifs du traitement, des modalités de traitement (la durée de conservation des données, les personnes qui sont susceptibles d’avoir accès ou de recevoir communication de ces données, les éventuels transferts de données hors de l’Union européenne…) et de ses droits (accès, rectification, suppression, limitation du traitement, opposition, portabilité, possibilité d’introduire une réclamation).

Si vous avez des salariés ... Enregistrer et poursuivre plus tard

Le RGPD ne me concerne pas si j’ai moins de 11 salariés.

Faux : il n’y a pas de seuil. Le RGPD concerne tous les organismes (entreprises, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques…) et toutes les entreprises (start-ups, TPE, PME, grandes entreprises, groupes internationaux). Toutefois, les plus petites structures (moins de 250 salariés) ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles (DPO, data protection officer) sauf en cas de suivi régulier à grande échelle de données personnelles).

Le RGPD ne me concerne pas si je n’ai pas de fichier informatisé de mes salariés.

Faux : le RGPD s’applique aux traitements en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données (dossiers RH : contrats signés, entretiens professionnels ou annuels…).

Le RGPD ne me concerne pas si je ne travaille qu’avec des travailleurs indépendants ou consultants.

Faux : les travailleurs indépendants ou consultants ne sont pas liés à l’entreprise par un contrat de travail. L’entreprise n’a donc pas à gérer leurs données personnelles dans le cadre du salariat (bulletin de paie, gestion des congés, avantages sociaux…). Toutefois, l’entreprise est généralement amenée à collecter ou traiter leurs données personnelles (adresse électronique, adresse physique et éventuellement numéro de sécurité sociale pour les besoins du contrat de collaboration…).

Si vous avez des salariés ... Enregistrer et poursuivre plus tard

Le RGPD ne me concerne pas si je ne travaille qu’avec des intérimaires et/ou des stagiaires/apprentis.

Faux : l’entreprise est soumise au RGPD pour le traitement des données personnelles de l’ensemble des personnes travaillant dans son établissement (salariés, stagiaires, apprentis, intérimaires, prestataires internes…). Toutefois, dans le cas du portage salarial ou de l’intérim, l’entreprise utilisatrice est responsable de certaines données (contrôles d’accès, vidéosurveillance, accès cantine, gestion des congés ou de la présence…) et l’employeur est responsable des données de salariat (bulletins de paie par exemple).

Le RGPD ne me concerne pas si je confie la gestion de la paie de mes salariés à un tiers.

Faux : lorsque la gestion de la paie ou le stockage du bulletin de paie (utilisation des coffres-forts numériques par exemple) est confié(e) à un tiers, l’entreprise reste responsable du traitement (donneur d’ordres), mais le prestataire est également soumis au RGPD en tant que sous-traitant.

Si vous avez des salariés ... Enregistrer et poursuivre plus tard

Je dois demander le consentement du salarié pour traiter ses données personnelles.

Faux : le traitement des données personnelles d’un salarié est nécessaire à l’exécution du contrat de travail. Le consentement du salarié n’est donc pas nécessaire. Toutefois, pour les données qui ne sont pas directement liées au contrat de travail, mais qui sont nécessaires pour que le salarié puisse bénéficier d’avantages, comme le Comité d’entreprise par exemple (nombre d’enfants, âge des enfants par exemple), les données ne peuvent être collectées qu’avec le consentement du salarié.

Le numéro de sécurité sociale est une donnée personnelle.

Vrai : le numéro de sécurité sociale est unique et permet d’identifier un individu de manière certaine. Il s’agit donc d’une donnée personnelle sensible nécessitant des garanties supplémentaires et qui ne peut pas être traitée ou collectée arbitrairement.

Si vous avez des partenaires, prestataires extérieurs ou sous-traitants ... Enregistrer et poursuivre plus tard

D’une manière générale, je suis responsable de ce que font mes sous-traitants des données que je leur confie.

Vrai : l’entreprise est responsable de traitement des données personnelles qu’elle collecte ou qu’elle utilise. En revanche, dans le cas où elle confie la gestion ou le traitement de ces données à des tiers (partenaires, prestataires extérieurs ou sous-traitants), ces tiers peuvent être considérés comme des sous-traitants au sens du RGPD (avec des obligations). Il convient alors de prévoir un contrat ou des clauses contractuelles régissant la relation entre l’entreprise responsable de traitement et les sous-traitants en matière de données personnelles. Par ailleurs, en fonction de leur rôle, ces tiers peuvent également être considérés comme des coresponsables de traitement et avoir ainsi les mêmes obligations vis-à-vis des traitements de données personnelles et partager les sanctions de l’entreprise.

Le sous-traitant est exonéré de toute responsabilité vis-à-vis des données personnelles que je lui confie.

Faux : le sous-traitant est soumis à certaines obligations du RGPD (désignation d’un DPO, tenue d’un registre des traitements, sécurité, documentation de leur activité notamment). Par ailleurs, il doit assister et conseiller le responsable de traitement pour le traitement des données personnelles dont il a la gestion (notification des failles de sécurité, sécurité du traitement…). Le sous-traitant peut être tenu pour responsable et sanctionné (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires) s’il ne respecte pas ses propres obligations, s’il agit en dehors des instructions ou missions confiées par le responsable de traitement, s’il n’aide pas ce dernier à respecter ses obligations ou encore s’il n’informe pas l’entreprise cliente en cas de sous-traitance.

Je peux être amené à partager la responsabilité à l’égard des données personnelles avec mes partenaires.

Vrai : en fonction des cas, le partenaire qui traite ou réutilise des données personnelles confiées par une entreprise ou qui collecte ses propres données dans le cadre d’un partenariat peut être désigné coresponsable ou responsable conjoint du traitement, ce qui signifie qu’il pourra y avoir un partage de responsabilité de l’entreprise et du partenaire en cas de manquement à une obligation du RGPD.

Si vous avez des partenaires, prestataires extérieurs ou sous-traitants ... Enregistrer et poursuivre plus tard

Dans le cas où je confie le traitement des données à caractère personnel dont je dispose (de mes clients, salariés…), je dois formaliser ma relation avec le sous-traitant/prestataire par un contrat.

Vrai : le RGPD exige que le traitement de données personnelles par un sous-traitant soit régi par un contrat prévoyant notamment que le sous-traitant ne traite les données qui lui sont confiées que conformément aux instructions de l’entreprise, qu’il avertisse l’entreprise en cas de faille de sécurité, qu’il mette en place des mesures de sécurité appropriées ou encore qu’il supprime les données personnelles à la fin de sa mission. Le contrat permet à l’entreprise d’engager la responsabilité contractuelle de son sous-traitant en cas de manquement.

Je peux confier le traitement de données personnelles dont dispose mon entreprise à un prestataire/partenaire situé en dehors de l’Union européenne.

Vrai : il est possible de choisir un partenaire ou prestataire non européen. Toutefois, il s’agit d’un transfert de données personnelles hors Union européenne. Il faut donc vérifier le pays d’établissement du partenaire ou sous-traitant et la possibilité de transférer les données vers ce pays. En effet, le transfert n’est possible qu’en cas d’autorisation de la CNIL, d’accord international (Privacy Shield pour les Etats-Unis par exemple) ou de mise en place de BCR (Binding Corporate Rules : règles contraignantes d’entreprises pouvant être utilisées uniquement au sein d’un groupe d’entreprises) validés par la CNIL. Attention, l’utilisation de cloud est considérée comme un transfert de données personnelles si les serveurs sont situés hors de l’Union européenne !

Dans le cas particulier où je stocke mes données dans le « cloud », je dois impérativement me renseigner sur le lieu où sont installés les serveurs.

Vrai : l’utilisation du cloud est considérée comme un transfert de données personnelles si les serveurs sont situés en dehors de l’Union européenne. Dans ce cas, l’entreprise doit obtenir l’autorisation de la CNIL, mettre en place des BCR (s’il s’agit d’un transfert vers une entreprise du même groupe) ou vérifier l’existence d’un accord international (Privacy Shield aux Etats-Unis par exemple).

... alors vous devez prévoir un processus interne de conformité Enregistrer et poursuivre plus tard

Afin de mener à bien le projet de mise en conformité avec le RGPD, je dois désigner une personne référente sur les questions relatives à la protection des données à caractère personnel.

Vrai : la désignation d’un Data Protection Officer (DPO) est obligatoire pour les responsables de traitement et les sous-traitants dont les activités de base exigent un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les cas où votre entreprise n’est pas soumise à cette obligation, la CNIL recommande tout de même de désigner une personne pilote (un « chef d’orchestre ») dont le rôle consistera à centraliser les informations relatives aux traitements de données à caractère personnel (DCP) et organisera les actions à mener afin de respecter les obligations applicables. En pratique, il est difficile de se passer d’un chef de projet afin de mener le plan de conformité au RGPD.

Lorsqu’un DPO est désigné, c’est lui qui est responsable en cas de non-conformité au RGPD d’un traitement de données personnelles.

Faux : le DPO a pour rôle de contrôler la conformité des traitements et de conseiller l’entreprise en matière de protection des données personnelles. Il doit, de ce fait, être associé le plus tôt possible à tout projet comportant de telles données. Toutefois, il n’est pas juridiquement responsable en cas de non-conformité du traitement, ce qui relève de la seule responsabilité de l’entreprise et de son représentant. En revanche, il est envisageable de déclencher une procédure disciplinaire prévue en droit du travail en cas de faute grave de la part du DPO.

Pour débuter mon plan de conformité avec le RGPD, je dois recenser de façon précise chacun des traitements de données à caractère personnel que je mets en œuvre au sein de mon entreprise.

Vrai : véritable tableau de bord de la conformité au RGPD, la cartographie des données à caractère personnel consiste en un recensement exhaustif des traitements (y compris les flux de données et les mesures de sécurité) et prend la forme d’un registre des activités de traitement. Si la tenue d’un tel registre n’est pas obligatoire pour les entreprises de moins de 250 salariés, cela est en pratique indispensable pour mesurer l’impact du RGPD, cerner les mesures à mettre en œuvre pour s’y conformer et les prioriser. La CNIL met à disposition un modèle de registre sur son site internet.

... alors vous devez prévoir un processus interne de conformité Enregistrer et poursuivre plus tard

La mise en place d’un registre de traitement des données à caractère personnel suffit pour répondre aux exigences du RGPD.

Faux : afin de déterminer les actions de conformité et de les prioriser au sein d’un plan de mise en conformité, l’entreprise doit procéder à une analyse juridique des traitements inventoriés, en vérifiant si les traitements de données personnelles mis œuvre répondent aux conditions posées par le RGPD. Par exemple, il faut porter une attention particulière sur :
- le principe de minimisation des données (seules les données strictement nécessaires au traitement sont collectées et traitées),
- les modalités de collecte du consentement et de transparence (vérifier les mentions d’informations et clauses contractuelles relatives aux traitements de données personnelles mis en œuvre dans le cadre des relations avec les salariés, les clients et les fournisseurs ou partenaires de l’entreprise : à défaut de consentement des personnes concernées, il faudra vérifier si une autre base juridique peut justifier le traitement, comme le contrat, une obligation légale ou un intérêt légitime par exemple),
- la mise en place d’une procédure de gestion des réclamations ou demandes relatives à l’exercice des droits des personnes (droit d’accès, de rectification, d’opposition, de suppression, droit à la portabilité),
- les mentions obligatoires dans les contrats avec les sous-traitants,
- ou encore les mesures (organisationnelles, techniques) visant à garantir la sécurité des données pour éviter la destruction, la perte, l’altération ou la divulgation non autorisée des données.

Je dois prêter une attention particulière aux traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées.

Vrai : Lorsqu’un traitement est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées, il est obligatoire de réaliser une analyse d’impact. Ce document, qui dans certains cas doit être communiqué à la CNIL, contient une présentation détaillée du traitement concerné et des mesures envisagées par l’entreprise pour limiter la réalisation des risques. Les « guides DPIA » de la CNIL proposent une méthode pour réaliser cette analyse et la formaliser.
Selon la CNIL, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact : l’évaluation ou scoring (y compris le profilage lorsqu’il est fondé sur un traitement automatisé et qu’il a des effets juridiques sur la personne), la décision automatique avec effet légal ou similaire, la surveillance systématique (vidéosurveillance par exemple), la collecte de données sensibles (données biométriques, données d’infractions, données relatives à l’origine raciale ou ethnique, aux idées politiques ou croyances religieuses, à l’orientation sexuelle…), la collecte de données personnelles à large échelle, le croisement de données, la collecte de données de personnes vulnérables (patients, personnes âgées, enfants, etc.), l’usage innovant (utilisation d’une nouvelle technologie), l’exclusion du bénéfice d’un droit/contrat.
La CNIL met à disposition sur son site un logiciel dont l’objet est de faciliter la formalisation d’une analyse d’impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

... et assurer la sécurité de vos traitements Enregistrer et poursuivre plus tard

Avant la mise en œuvre d’un traitement de données personnelles, je dois systématiquement effectuer une analyse d’impact.

Faux : L’analyse d’impact est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le G29 (groupe des CNIL européennes) définit 9 critères à prendre en compte pour déterminer si le traitement engendre un tel risque. Si deux critères sont réunis, alors l’analyse d’impact est obligatoire. Elle est également obligatoire dans certains cas particuliers : pour la mise en place d’un profilage (quand il est fondé sur un traitement automatisé et qu’il a des effets juridiques sur la personne), d’une vidéosurveillance ou le traitement de données sensibles (données révélant l’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale ou l’orientation sexuelle, les données génétiques, biométriques ou de santé ou encore les données relatives à des condamnations pénales). La CNIL met à disposition un logiciel d’analyse d’impact : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Lorsque l’analyse d’impact révèle un risque élevé pour les droits et libertés des personnes, je dois consulter la CNIL.

Vrai : La CNIL doit se prononcer dans un délai maximum de 8 semaines sur les mesures et garanties qu’envisage de mettre en place le responsable du traitement. A l’issue de ce délai, elle peut décider d’autoriser le traitement, de prescrire des mesures complémentaires ou de limiter ou suspendre le traitement.

Afin de sécuriser les données personnelles, seuls les salariés de l’entreprise peuvent y avoir accès.

Faux : L’accès aux données personnelles doit être restreint en fonction des objectifs poursuivis. Tous les salariés ne peuvent donc pas avoir accès à l’ensemble des données personnelles traitées ou stockées dans l’entreprise, ce qui implique qu’il y ait un cloisonnement en interne afin de donner des habilitations nécessaires à certains salariés en fonction des tâches qu’il a à exécuter. A l’inverse, il peut être justifié que certaines personnes extérieures à l’entreprise puissent avoir accès à ces données personnelles. Par exemple, dans le cadre de la gestion externalisée de la paie, les administrateurs internes ou externes peuvent avoir accès aux données, de même que les sous-traitants en charge de la gestion de la paie. En interne, seuls les RH et éventuellement la direction financière peuvent avoir accès aux données de leurs salariés. L’accès aux données nécessaires à la gestion de la paie doit donc être strictement limité à ces personnes.

... et assurer la sécurité de vos traitements Enregistrer et poursuivre plus tard

Afin de sécuriser les données personnelles, il suffit d’utiliser des antivirus et des pares-feux.

Faux : l’utilisation d’antivirus ou de pares-feux seuls n’est pas une mesure suffisante. Il faut d’une part mettre en place d’autres mesures de sécurité, comme l’utilisation de mots de passe ou de codes d’accès, le chiffrement ou le cloisonnement des droits d’accès. D’autre part, il faut veiller à utiliser un antivirus ou un pare-feu à jour. En effet, l’une des premières mesures préconisées par la CNIL est de veiller à la mise à jour des systèmes et logiciels utilisés.

Afin de sécuriser les données personnelles, la protection physique des locaux est inutile.

Faux : La première des mesures à mettre en place est la sécurisation de l’accès physique aux locaux, en particulier si vous détenez des fichiers papier contenant des données personnelles, comme des dossiers RH par exemple. Il convient de fermer les locaux ou les meubles à clé, de mettre en place un dispositif de vidéosurveillance, ou encore de mettre en place un système de contrôle d’accès.

Afin de sécuriser les données personnelles, les sauvegardes de données et la traçabilité sont des mesures appropriées.

Vrai : Même si ces mesures ne sont pas suffisantes, elles sont très utiles. En effet, la sauvegarde des données permet de récupérer des données personnelles qui auraient été frauduleusement ou accidentellement modifiées ou supprimées ; la traçabilité permet quant à elle de savoir qu’une personne non autorisée a eu accès aux données ou que des données ont été extraites ou téléchargées.

... et assurer la sécurité de vos traitements Enregistrer et poursuivre plus tard

On parle de faille ou d’incident de sécurité impactant les données personnelles quand une personne non autorisée a eu accès à mes fichiers de données personnelles.

Vrai : il s’agit d’une violation de la confidentialité des données personnelles qui peut avoir des conséquences dommageables pour les personnes concernées. Par exemple, l’accès aux données bancaires de mes clients ou encore l’accès aux données de contact de mes clients (ce qui peut entraîner des appels indésirables).

On parle de faille ou d’incident de sécurité impactant les données personnelles quand j’ai modifié ou effacé par erreur quelques lignes de mon fichier clients.

Vrai : il s’agit d’une violation de l’intégrité ou de la disponibilité des données personnelles, ce qui peut avoir des conséquences dommageables pour les personnes concernées. Par exemple, la destruction des données de santé ou du dossier de suivi médical d’un patient.

On parle de faille ou d’incident de sécurité impactant les données personnelles quand le compte personnel de mon client est momentanément indisponible pour des raisons de maintenance.

Faux : L’indisponibilité momentanée pour des raisons de maintenance n’est pas dommageable si elle est contrôlée et si elle ne persiste pas au-delà d’un délai raisonnable.

... et assurer la sécurité de vos traitements Enregistrer et poursuivre plus tard

En cas d’incident de sécurité impactant des données personnelles, je dois alerter la CNIL.

Vrai : En cas d’incident de sécurité (accès non autorisé, fuite ou perte de données par exemple) susceptible d’engendrer un risque pour les droits des personnes concernées (par exemple une fuite ou un accès aux données bancaires), le responsable du traitement doit le notifier à la CNIL. Cette notification doit intervenir dans un délai de 72h à compter de la découverte de l’incident, c’est-à-dire à partir du moment où le responsable est certain qu’il y a eu une faille de sécurité sur ses systèmes informatiques et que des données personnelles ont été impactées. La notification peut avoir lieu en plusieurs fois : le responsable informe la CNIL dans un premier temps et fournit des informations plus complètes et détaillées de l’incident dans un second temps.

En cas d’incident de sécurité impactant des données personnelles, je n’ai pas besoin de prévenir les personnes concernées.

Faux : Dans l’hypothèse où la faille de sécurité serait susceptible d’engendrer un risque élevé pour les droits des personnes (par exemple pour l’accès aux données bancaires), le responsable de traitement devrait informer les personnes concernées de cette faille dans les meilleurs délais, à moins qu’il n’ait mis en place des mesures appropriées diminuant le risque (l’anonymisation ou le chiffrement rendant ces données incompréhensibles pour toute personne non autorisée par exemple).

Questions de qualification de l'entreprise Enregistrer et poursuivre plus tard

Quel est le secteur d'activité de votre entreprise ?

Quelle est la branche d'activité de votre entreprise?

Dans quelle région votre entreprise est-elle située?

Questions de qualification de l'entreprise Enregistrer et poursuivre plus tard

Quel est le code postal du siège social de l’entreprise ?

Dans quel type d'environnement votre entreprise est-elle située ?

Questions de qualification de l'entreprise Enregistrer et poursuivre plus tard

Combien y a t-il de collaborateurs dans votre entreprise ?

Quel est votre type de clientèle principal ?

Oups ! Vous avez omis de répondre à une ou plusieurs questions.

OK, je reviens au questionnaire