Stacks Image 407204

Le RGPD, questionnaire d'Audit

RGPD
Faites ce mini questionnaire d'Audit pour estimer vos connaissances en matière du RGPD.
Il y a 17 questions, avec leurs réponses, relatives au règlement européen.

Ce test et sans engagement et totalement anonyme.
Stacks Image 411234
1) Votre structure (entreprise) est située..
En Suisse
Dans l'Union Européenne
image/svg+xml
Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).

Si ce n'est pas le cas, il faut savoir que presque toutes les entreprises sont appelées à s’adapter, car la Suisse se dotera bientôt de sa propre Loi révisée sur la protection des données, similaire à la version européenne. Il convient donc de s'y conforter dès maintenant.


Question suivante…
image/svg+xml
Le RGPD vous concerne. Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).


Question suivante…
image/svg+xml
2) Votre structure (entreprise) détient-elle des données personnelles ?
OUI
NON
image/svg+xml
Elle en détient forcément, puisque la seule exception à l’application du RGPD concerne les données de votre répertoire téléphonique personnel. En effet, le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen. À titre d’exemple, un nom, prénom, adresse e-mail, photo, numéro de sécurité sociale sont des données personnelles (de surcroît cette dernière est considérée comme sensible) puisqu’il est unique et permet d’identifier un individu de manière certaine.



Question suivante…
image/svg+xml
3) Sous quelle forme sont détenues ces informations ?
a) sur des fichiers papier
b) sur les fichiers informatisés
c) les deux
image/svg+xml
Le RGPD s’applique à tous les modes de traitement, sans lien avec le support. Le simple fait de stocker des dossiers imprimés (comme les dossiers des clients), constitue un ensemble structuré de données qui sont donc concernées par le RGPD. Il en va de même, par exemple, pour les données concernant les salariés (dossiers liés aux ressources humaines tels que les contrats signés, les entretiens professionnels ou annuels).


Question suivante…
image/svg+xml
4) Les données personnelles déjà stockées sont-elles toutes complètement anonymisées (cryptées) ?
a) oui
b) non
c) ne sais pas
image/svg+xml
Dans votre cas, le RGPD ne s’applique pas, puisque l’on considère que par cette procédure les données sont déjà protégées. Cependant, il convient de vérifier qu’il s’agit bien de données «anonymisées» et non «pseudonymisées».

La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).


Question suivante…
image/svg+xml
Le RGPD s’applique donc à ces données. Sinon il conviendra bien d’«anonymiser» les données et non les «pseudonymiser». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).


Question suivante…
image/svg+xml
Il convient de procéder à une analyse afin de le vérifier. De surcroît, il conviendra bien d’« anonymiser » les données et non les « pseudonymiser ». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).


Question suivante…
image/svg+xml
5) Pensez-vous qu'il existe un lien entre l’application du RGPD et la forme juridique de votre structure ?
Oui
Non
image/svg+xml
Non. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).


Question suivante…
image/svg+xml
Exact. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).


Question suivante…
image/svg+xml
6) Pensez-vous que l’application du RGPD dépend du nombre de salariés présents dans votre structure ?
Oui
Non
image/svg+xml
Non. Le RGPD ne prévoit pas de seuil en la matière, mais les structures de moins de 250 salariés ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles (dénommé DPD pour délégué à la protection des données ou DPO pour Data Protection Officer) sauf en cas de suivi régulier à grande échelle de données personnelles.

Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».


Question suivante…
image/svg+xml
Effectivement, il n’y a pas de seuil. Toutefois, les plus petites structures (moins de 250 salariés) ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles) sauf en cas de suivi régulier à grande échelle de données personnelles).

Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».



Question suivante…
image/svg+xml
PROCESSUS CONFORMITÉ ET SÉCURITÉ DES TRAITEMENTS

7) Pensez-vous être obligé de désigner un Délégué à la Protection des Données (DPD, ou plus régulièrement désigné DPO pour Data Protection Officer) ?
Oui
Non
image/svg+xml
Seulement si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le choix d’un DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire.


Question suivante…
image/svg+xml
Cela peut être le cas si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire


Question suivante…
image/svg+xml
8) Pensez-vous que le dirigeant est exempté de toute responsabilité avec la désignation d’un DPO ?
Oui
Non
image/svg+xml
En aucun cas. Le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.


Question suivante…
image/svg+xml
Effectivement, le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.


Question suivante…
image/svg+xml
9) Pensez-vous qu'il faille limité les accès aux données personnelles des clients juste aux employés ?
Oui
Non
image/svg+xml
Sur le principe, l’accès doit être encore plus restreint. L’accès doit dépendre des objectifs poursuivis et dans tous les cas, il convient, même dans de petites structures d’établir un cloisonnement en interne en choisissant les personnes habilitées en fonction des tâches à exécuter. A contrario, certaines personnes extérieures à la structure peuvent être amenées à à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). La plupart du temps, seuls le service (ou le responsable) des ressources humaines ou encore le service financier ont accès aux données des salariés. Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.


Question suivante…
image/svg+xml
Il doit être limité au sein de la structure (la plupart du temps, seuls les services financiers et des ressources humaines ont accès aux données) mais certaines personnes extérieures peuvent être amenées à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.


Question suivante…
image/svg+xml
10) La sécurisation des données personnelles passe-t-elle par une protection « physique » des locaux ?
Oui
Non
image/svg+xml
Effectivement, la protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).


Question suivante…
image/svg+xml
C’est faux. La protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).


Question suivante…
image/svg+xml
RGPD ET RESPONSABILITÉ

11) En tant que dirigeant, pensez-vous être responsable du traitement des données ?
Oui
Non
image/svg+xml
Bien entendu, le dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.


Question suivante…
image/svg+xml
Vous l’êtes. Tout dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.


Question suivante…
image/svg+xml
12) Les données personnelles liées à votre structure sont-elles traitées par un tiers.
Oui
Non
image/svg+xml
Toute structure est responsable des données personnelles qu’elle collecte ou qu’elle utilise. En revanche, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.


Question suivante…
image/svg+xml
Vous êtes donc pleinement responsable des données personnelles collectées et traitées. Le cas échéant, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.


Question suivante…
image/svg+xml
LE RGPD ET LES RELATIONS CLIENT

13) Pensez-vous devoir recueillir systématiquement l’accord préalable du client avant de collecter des données le concernant ?
Oui
Non
image/svg+xml
Dans le doute, il s’agit de la bonne démarche (c’est la règle de principe que met en place le RGPD). Cependant, il existe des exceptions comme notamment lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale (par exemple, à l’établissement ou à l’exécution d’un contrat auquel la personne est partie).


Question suivante…
image/svg+xml
Il est indispensable de le faire pour être en adéquation avec le RGPD. Seuls des cas particuliers échappent à cette règle de principe. Par exemple, lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale, comme pour l’établissement ou à l’exécution d’un contrat auquel la personne est partie.


Question suivante…
image/svg+xml
14) Pensez-vous devoir simplement informer les personnes dont les données sont collectées en vous limitant à l’existence de cette collecte
Oui
Non
image/svg+xml
En aucun cas. La personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? à quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.


Question suivante…
image/svg+xml
Effectivement, la personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? À quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.



Question suivante…
image/svg+xml
15) Votre structure communique-elle, entre-autres, par liste de diffusion ou newletters ?
Oui
Non
image/svg+xml
Selon le RGPD, une newsletter ou liste de diffusion est un traitement de données personnelles. Son envoi est donc soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newletter).


Question suivante…
image/svg+xml
Si cela est envisagé, il conviendra de se conformer au RGPD.


Son envoi sera soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newsletter).


Question suivante…
image/svg+xml
16) Votre structure fait-elle de la prospection (notamment du mailing)
Oui
Non
image/svg+xml
La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée. Il convient donc de prévoir un processus, aisément accessible, permettant de mettre fin au démarchage.


Question suivante…
image/svg+xml
Si cela est envisagé, il conviendra de se conformer au RGPD. La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée.


Question suivante…
image/svg+xml
17) Votre structure, organise-t-elle des évènements ouverts à vos clients ou vos prospects ?
Oui
Non
image/svg+xml
Toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles, il convient d’en assurer un traitement en adéquation avec le RGPD.

Fin du questionnaire d'Audit !

Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
image/svg+xml
Si cela est envisagé, il conviendra de se conformer au RGPD car toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles.

Fin du questionnaire d'Audit !

Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
image/svg+xml
Faites vous-même ce mini questionnaire d'Audit en ligne pour estimer vos connaissances en matière de RGPD. Il y a 17 questions, avec leurs réponses, relatives à nouvelle règlementation.

Ce test et sans engagement et totalement anonyme. Démarrez maintenant !
Questionnaire d'Audit RGPD
1) Votre structure (entreprise) est située..
En Suisse
Dans l'Union Européenne
image/svg+xml
Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).

Si ce n'est pas le cas, il faut savoir que presque toutes les entreprises sont appelées à s’adapter, car la Suisse se dotera bientôt de sa propre Loi révisée sur la protection des données, similaire à la version européenne. Il convient donc de s'y conforter dès maintenant.


Question suivante…
image/svg+xml
Le RGPD vous concerne. Le champ d’application couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple exportateurs et exploitants de plateformes de commande en ligne) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).


Question suivante…
image/svg+xml
2) Votre structure (entreprise) détient-elle des données personnelles ?
OUI
NON
image/svg+xml
Elle en détient forcément, puisque la seule exception à l’application du RGPD concerne les données de votre répertoire téléphonique personnel. En effet, le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen. À titre d’exemple, un nom, prénom, adresse e-mail, photo, numéro de sécurité sociale sont des données personnelles (de surcroît cette dernière est considérée comme sensible) puisqu’il est unique et permet d’identifier un individu de manière certaine.



Question suivante…
image/svg+xml
3) Sous quelle forme sont détenues ces informations ?
a) sur des fichiers papier
b) sur les fichiers informatisés
c) les deux
image/svg+xml
Le RGPD s’applique à tous les modes de traitement, sans lien avec le support. Le simple fait de stocker des dossiers imprimés (comme les dossiers des clients), constitue un ensemble structuré de données qui sont donc concernées par le RGPD. Il en va de même, par exemple, pour les données concernant les salariés (dossiers liés aux ressources humaines tels que les contrats signés, les entretiens professionnels ou annuels).


Question suivante…
image/svg+xml
4) Les données personnelles déjà stockées sont-elles toutes complètement anonymisées (cryptées) ?
a) oui
b) non
c) ne sais pas
image/svg+xml
Dans votre cas, le RGPD ne s’applique pas, puisque l’on considère que par cette procédure les données sont déjà protégées. Cependant, il convient de vérifier qu’il s’agit bien de données «anonymisées» et non «pseudonymisées».

La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).


Question suivante…
image/svg+xml
Le RGPD s’applique donc à ces données. Sinon il conviendra bien d’«anonymiser» les données et non les «pseudonymiser». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).


Question suivante…
image/svg+xml
Il convient de procéder à une analyse afin de le vérifier. De surcroît, il conviendra bien d’« anonymiser » les données et non les « pseudonymiser ». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).


Question suivante…
image/svg+xml
5) Pensez-vous qu'il existe un lien entre l’application du RGPD et la forme juridique de votre structure ?
Oui
Non
image/svg+xml
Non. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).


Question suivante…
image/svg+xml
Exact. Le RGPD concerne toutes les structures ou organismes (entreprises - start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).


Question suivante…
image/svg+xml
6) Pensez-vous que l’application du RGPD dépend du nombre de salariés présents dans votre structure ?
Oui
Non
image/svg+xml
Non. Le RGPD ne prévoit pas de seuil en la matière, mais les structures de moins de 250 salariés ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles (dénommé DPD pour délégué à la protection des données ou DPO pour Data Protection Officer) sauf en cas de suivi régulier à grande échelle de données personnelles.

Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».


Question suivante…
image/svg+xml
Effectivement, il n’y a pas de seuil. Toutefois, les plus petites structures (moins de 250 salariés) ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles) sauf en cas de suivi régulier à grande échelle de données personnelles).

Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas «écrit» mais qui peut prendre une forme «électronique».



Question suivante…
image/svg+xml
PROCESSUS CONFORMITÉ ET SÉCURITÉ DES TRAITEMENTS

7) Pensez-vous être obligé de désigner un Délégué à la Protection des Données (DPD, ou plus régulièrement désigné DPO pour Data Protection Officer) ?
Oui
Non
image/svg+xml
Seulement si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le choix d’un DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire.


Question suivante…
image/svg+xml
Cela peut être le cas si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire


Question suivante…
image/svg+xml
8) Pensez-vous que le dirigeant est exempté de toute responsabilité avec la désignation d’un DPO ?
Oui
Non
image/svg+xml
En aucun cas. Le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.


Question suivante…
image/svg+xml
Effectivement, le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.


Question suivante…
image/svg+xml
9) Pensez-vous qu'il faille limité les accès aux données personnelles des clients juste aux employés ?
Oui
Non
image/svg+xml
Sur le principe, l’accès doit être encore plus restreint. L’accès doit dépendre des objectifs poursuivis et dans tous les cas, il convient, même dans de petites structures d’établir un cloisonnement en interne en choisissant les personnes habilitées en fonction des tâches à exécuter. A contrario, certaines personnes extérieures à la structure peuvent être amenées à à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). La plupart du temps, seuls le service (ou le responsable) des ressources humaines ou encore le service financier ont accès aux données des salariés. Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.


Question suivante…
image/svg+xml
Il doit être limité au sein de la structure (la plupart du temps, seuls les services financiers et des ressources humaines ont accès aux données) mais certaines personnes extérieures peuvent être amenées à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.


Question suivante…
image/svg+xml
10) La sécurisation des données personnelles passe-t-elle par une protection « physique » des locaux ?
Oui
Non
image/svg+xml
Effectivement, la protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).


Question suivante…
image/svg+xml
C’est faux. La protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).


Question suivante…
image/svg+xml
RGPD ET RESPONSABILITÉ

11) En tant que dirigeant, pensez-vous être responsable du traitement des données ?
Oui
Non
image/svg+xml
Bien entendu, le dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.


Question suivante…
image/svg+xml
Vous l’êtes. Tout dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.


Question suivante…
image/svg+xml
12) Les données personnelles liées à votre structure sont-elles traitées par un tiers.
Oui
Non
image/svg+xml
Toute structure est responsable des données personnelles qu’elle collecte ou qu’elle utilise. En revanche, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.


Question suivante…
image/svg+xml
Vous êtes donc pleinement responsable des données personnelles collectées et traitées. Le cas échéant, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une co-responsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.


Question suivante…
image/svg+xml
LE RGPD ET LES RELATIONS CLIENT

13) Pensez-vous devoir recueillir systématiquement l’accord préalable du client avant de collecter des données le concernant ?
Oui
Non
image/svg+xml
Dans le doute, il s’agit de la bonne démarche (c’est la règle de principe que met en place le RGPD). Cependant, il existe des exceptions comme notamment lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale (par exemple, à l’établissement ou à l’exécution d’un contrat auquel la personne est partie).


Question suivante…
image/svg+xml
Il est indispensable de le faire pour être en adéquation avec le RGPD. Seuls des cas particuliers échappent à cette règle de principe. Par exemple, lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale, comme pour l’établissement ou à l’exécution d’un contrat auquel la personne est partie.


Question suivante…
image/svg+xml
14) Pensez-vous devoir simplement informer les personnes dont les données sont collectées en vous limitant à l’existence de cette collecte
Oui
Non
image/svg+xml
En aucun cas. La personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? à quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.


Question suivante…
image/svg+xml
Effectivement, la personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? À quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.



Question suivante…
image/svg+xml
15) Votre structure communique-elle, entre-autres, par liste de diffusion ou newletters ?
Oui
Non
image/svg+xml
Selon le RGPD, une newsletter ou liste de diffusion est un traitement de données personnelles. Son envoi est donc soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newletter).


Question suivante…
image/svg+xml
Si cela est envisagé, il conviendra de se conformer au RGPD.


Son envoi sera soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newsletter).


Question suivante…
image/svg+xml
16) Votre structure fait-elle de la prospection (notamment du mailing)
Oui
Non
image/svg+xml
La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée. Il convient donc de prévoir un processus, aisément accessible, permettant de mettre fin au démarchage.


Question suivante…
image/svg+xml
Si cela est envisagé, il conviendra de se conformer au RGPD. La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée.


Question suivante…
image/svg+xml
17) Votre structure, organise-t-elle des évènements ouverts à vos clients ou vos prospects ?
Oui
Non
image/svg+xml
Toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles, il convient d’en assurer un traitement en adéquation avec le RGPD.

Fin du questionnaire d'Audit !

Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
image/svg+xml
Si cela est envisagé, il conviendra de se conformer au RGPD car toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles.


Fin du questionnaire d'Audit !

Nous restons naturellement à votre entière disposition pour toutes autres questions que vous auriez à ce sujet.
image/svg+xml