Les articles de l'auteur L'Expert rgpd

Collectivités locales et RGPD : pourquoi la désignation d’un DPO est obligatoire et comment bien démarrer

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, les collectivités territoriales sont tenues de se conformer à des exigences strictes en matière de protection des données personnelles. Parmi ces obligations, la désignation d’un Délégué à la protection des données (DPO) constitue un pilier fondamental.

Le RGPD s’applique aux collectivités : pourquoi ?

Les mairies, communautés de communes, départements et régions traitent chaque jour un grand nombre de données à caractère personnel :
• État civil
• Inscription scolaire
• Services sociaux
• Ressources humaines
• Gestion des listes électorales
• Vidéoprotection
• Urbanisme, etc.

Ces données concernent des administrés, des agents ou des prestataires, et leur traitement engage la responsabilité juridique des collectivités.

Le DPO : un acteur clé de la conformité

❗ Une obligation légale

L’article 37 du RGPD impose la désignation d’un DPO pour toutes les autorités et organismes publics, quelle que soit leur taille ou le volume de données traitées. Cette obligation s’applique donc à toutes les collectivités locales, y compris les petites communes.

Rôle du DPO

Le DPO est chargé de :
• Conseiller l’organisme sur ses obligations en matière de protection des données ;
• Contrôler la conformité des traitements ;
• Informer et sensibiliser les agents ;
• Coopérer avec la CNIL et être son point de contact ;
• Tenir le registre des traitements ou en superviser la mise à jour.

Le DPO doit disposer d’une indépendance fonctionnelle, de moyens suffisants et d’un niveau d’expertise adapté.

DPO mutualisé ou externe : une solution adaptée

Pour les petites communes, la mutualisation est encouragée :
• Entre plusieurs communes d’un EPCI (intercommunalité)
• Via un syndicat de mutualisation
• Ou par recours à un DPO externe (prestataire)

✅ Les étapes pour bien démarrer la mise en conformité RGPD

Voici une feuille de route pratique pour les collectivités :

1. Désigner officiellement un DPO
• Identifier un agent compétent ou externaliser la fonction
• Le déclarer à la CNIL : https://designations.cnil.fr

2. Tenir un registre des traitements
• Documenter tous les traitements : finalités, base légale, destinataires, durée de conservation, etc.
• Utiliser le modèle simplifié proposé par la CNIL pour les collectivités

3. Informer les administrés et agents
• Afficher des mentions d’information claires sur les formulaires papier et en ligne
• Mettre à jour la politique de confidentialité du site web

4. Encadrer les sous-traitants
• Vérifier que les contrats avec les prestataires intègrent des clauses RGPD (sécurité, confidentialité, assistance…)

5. Former et sensibiliser les agents
• Organiser des sessions de formation RGPD
• Diffuser des guides internes (bons réflexes, droits des personnes, sécurité)

6. Mettre en place des mesures de sécurité
• Sécuriser les accès aux données (mots de passe, restrictions)
• Mettre en place une politique de sauvegarde et de gestion des incidents

Ressources utiles
• CNIL – Collectivités locales : https://www.cnil.fr/fr/collectivites-locales

Conformité RGPD d’un franchisé : une responsabilité indépendante

Le Règlement Général sur la Protection des Données (RGPD) impose des obligations claires aux responsables de traitement et aux sous-traitants en matière de protection des données personnelles. Dans le cadre d’une franchise, une idée reçue persistante consiste à penser que si la franchise mère a effectué les démarches de conformité, les franchisés n’ont aucune obligation supplémentaire à remplir. Cette perception est erronée, car chaque franchisé, en tant qu’entité juridiquement indépendante, doit assurer sa propre conformité au RGPD.

1. Le statut du franchisé vis-à-vis du RGPD

Le franchisé, bien que bénéficiant du cadre et du savoir-faire de la franchise, gère une entreprise autonome qui effectue divers traitements de données personnelles. Il peut ainsi être :

  • Responsable de traitement pour ses propres activités, telles que la gestion des clients locaux, la gestion de son personnel, ou l’organisation de campagnes marketing indépendantes.
  • Sous-traitant du franchiseur si ce dernier détermine les finalités et les moyens du traitement (par exemple, en imposant un système de gestion client unique).
  • Co-responsable du traitement si franchiseur et franchisé partagent conjointement la responsabilité d’un traitement, notamment en matière de prospection commerciale commune.

2. Obligations du franchisé en matière de protection des données

Indépendamment de la conformité mise en place par le franchiseur, le franchisé doit veiller à respecter les obligations suivantes :

a) Tenir un registre des traitements

Un franchisé doit documenter les traitements de données qu’il réalise. Ce registre doit inclure :

  • La finalité des traitements (gestion client, recrutement, marketing, etc.).
  • Les catégories de données collectées et traitées.
  • Les destinataires des données (franchiseur, prestataires, etc.).
  • Les durées de conservation.
  • Les mesures de sécurité mises en place.

b) Informer les personnes concernées

Le franchisé doit garantir une information claire et transparente aux personnes dont il collecte les données. Il doit donc mettre en place :

  • Une politique de confidentialité adaptée.
  • Des mentions légales conformes sur ses documents et son site internet.
  • Un dispositif permettant aux personnes d’exercer leurs droits (accès, rectification, suppression, opposition, etc.).

c) Assurer la sécurité des données

Le franchisé est responsable de la sécurisation des données qu’il traite. Il doit notamment :

  • Restreindre l’accès aux données aux seules personnes autorisées.
  • Mettre en place des mesures de cybersécurité (antivirus, mots de passe robustes, sauvegardes sécurisées, etc.).
  • Sensibiliser ses employés aux bonnes pratiques en matière de protection des données.

d) Encadrer ses relations avec les sous-traitants

Si un franchisé fait appel à des prestataires (agence marketing, hébergeur, service de paie, etc.), il doit :

  • S’assurer que ces derniers respectent le RGPD.
  • Signer des contrats de sous-traitance conformes.

3. Questions à se poser pour vérifier sa conformité RGPD

Voici une liste de questions clés qu’un franchisé doit se poser pour s’assurer de sa conformité RGPD :

✅ Suis-je responsable de traitement, sous-traitant ou co-responsable avec le franchiseur ?
✅ Ai-je clairement identifié les traitements de données que je réalise ?
✅ Ai-je un registre des traitements mis à jour ?
✅ Ai-je une politique de confidentialité accessible et compréhensible ?
✅ Mes formulaires contiennent-ils une mention d’information ?
✅ Les données sont-elles bien protégées et sauvegardées ?
✅ Mes employés sont-ils sensibilisés à la sécurité des données ?
✅ Ai-je mis en place un moyen pour que les personnes puissent exercer leurs droits ?
✅ Suis-je prêt à réagir en cas de fuite ou violation de données ?

Si le franchisé répond « non » à plusieurs de ces questions, il doit mettre en place des actions correctives rapidement pour garantir sa conformité.

4. Bonne pratique : une charte RGPD au sein du réseau de franchise

Pour harmoniser les pratiques et faciliter la conformité des franchisés, une bonne pratique consiste à mettre en place une charte RGPD au sein du réseau de franchise. Cette charte peut définir :

  • Les rôles et responsabilités de chacun.
  • Les processus communs pour le traitement des données.
  • Les outils conformes recommandés.
  • Un accompagnement pour la mise en conformité individuelle de chaque franchisé.

Conclusion

Un franchisé ne peut pas se dédouaner de ses responsabilités en matière de protection des données sous prétexte que le franchiseur a mis en place des mesures RGPD. Il doit impérativement prendre en charge ses propres obligations, tant en termes de documentation que de sécurisation et d’information des personnes concernées. Adopter une démarche proactive permet non seulement de se conformer à la réglementation, mais aussi de renforcer la confiance des clients et des employés vis-à-vis du respect de leurs données personnelles.

Conformité RGPD pour un site internet : les bases à mettre en place

Le Règlement Général sur la Protection des Données (RGPD) s’applique à tout site internet collectant des données personnelles, y compris un simple site vitrine avec un formulaire de contact. Cependant, la mise en conformité de votre site web ne signifie pas que votre entreprise est entièrement conforme au RGPD : d’autres obligations doivent être respectées pour assurer une conformité globale.

1. Un site vitrine est-il concerné par le RGPD ?

Même si votre site ne propose que des informations sur votre activité et un formulaire de contact, il collecte généralement des données personnelles (nom, prénom, email, numéro de téléphone, adresse IP, etc.). Dès qu’une donnée personnelle est traitée, le RGPD s’applique et impose certaines obligations en matière de transparence, de sécurité et de gestion des droits des personnes.

2. Les éléments à mettre en place sur votre site web

b) Une politique de confidentialité claire et accessible

Vous devez rédiger et afficher une politique de confidentialité expliquant :

  • Quelles données personnelles sont collectées et pour quelles finalités
  • Qui sont les destinataires des données (internes, sous-traitants, partenaires)
  • La durée de conservation des données
  • Les droits des utilisateurs (accès, rectification, suppression, opposition, etc.) et comment les exercer
  • Les bases légales du traitement (ex. : consentement, intérêt légitime)
  • Si des données sont transférées hors de l’Union européenne

Cette politique doit être facilement accessible depuis toutes les pages du site (généralement via un lien en pied de page).

c) Un bandeau de gestion des cookies conforme

Si votre site utilise des cookies non essentiels (ex. : cookies analytiques, publicitaires, de réseaux sociaux), vous devez obtenir le consentement explicite des visiteurs avant de les déposer. Cela passe par un bandeau de cookies conforme, permettant de :

  • Refuser aussi facilement que d’accepter (pas de case pré-cochée, pas de design incitatif)
  • Donner des informations détaillées sur les types de cookies utilisés
  • Laisser la possibilité de modifier ses choix à tout moment

d) Une mention d’information sur le formulaire de contact

Chaque formulaire de collecte de données personnelles doit être accompagné d’une mention d’information précisant :

  • L’identité du responsable du traitement (vous ou votre entreprise)
  • La finalité de la collecte (ex. : répondre aux demandes des utilisateurs)
  • La base légale du traitement (ex. : intérêt légitime si le contact est initié par l’utilisateur)
  • La durée de conservation des données
  • Les droits des personnes et comment les exercer

Exemple de mention :

“Les informations recueillies à partir de ce formulaire sont enregistrées par [Nom de votre entreprise] afin de répondre à votre demande. Elles sont conservées pendant [durée] et sont destinées exclusivement à notre service client. Vous pouvez exercer vos droits d’accès, de rectification et de suppression en nous contactant à [email]. Pour en savoir plus, consultez notre politique de confidentialité [lien].”

d) Sécuriser les données collectées

Même pour un simple site vitrine, certaines bonnes pratiques de sécurité doivent être mises en place :

  • Utiliser le protocole HTTPS pour sécuriser les échanges de données
  • Limiter les accès aux bases de données contenant des informations personnelles
  • Mettre à jour régulièrement les logiciels, CMS (ex. WordPress), plugins et thèmes pour éviter les failles de sécurité
  • Sauvegarder régulièrement les données pour éviter toute perte accidentelle

3. Se conformer au RGPD ne se limite pas à son site internet

Mettre en conformité son site web est une étape essentielle, mais cela ne suffit pas à être conforme au RGPD dans sa globalité. D’autres obligations s’appliquent à toute entreprise ou organisation traitant des données personnelles :

a) Tenir un registre des traitements

Toute entreprise qui collecte et traite des données personnelles doit établir un registre des activités de traitement détaillant :

  • Les types de données collectées
  • Les finalités des traitements
  • Les bases légales utilisées
  • Les mesures de sécurité mises en place
  • La durée de conservation des données

b) Gérer les demandes des utilisateurs (droits des personnes)

Les personnes concernées par vos traitements (clients, prospects, salariés) ont des droits (accès, rectification, suppression, opposition, portabilité, etc.). Vous devez être en mesure de traiter ces demandes rapidement et de les documenter.

c) Encadrer les relations avec vos sous-traitants

Si vous faites appel à des prestataires externes (ex. : hébergeur, outil de gestion de newsletters, CRM), vous devez :

  • Vérifier leur conformité au RGPD
  • Signer un contrat de sous-traitance précisant leurs obligations en matière de protection des données

d) Sensibiliser et former les équipes

Les salariés ou collaborateurs ayant accès aux données personnelles doivent être sensibilisés aux bonnes pratiques en matière de protection des données.

e) Mettre en place une politique de sécurité interne

Il est important de définir des mesures pour protéger les données personnelles en interne :

  • Gestion des accès aux données
  • Utilisation de mots de passe sécurisés
  • Chiffrement des données sensibles
  • Mise en place d’un plan en cas de violation de données

Conclusion : une approche globale de la conformité RGPD

La mise en conformité de votre site internet est une première étape essentielle, mais elle ne garantit pas à elle seule une conformité totale au RGPD. Pour être réellement en règle, il faut adopter une approche plus large intégrant l’ensemble des traitements de données de votre entreprise. En respectant ces bonnes pratiques, vous limitez les risques juridiques et renforcez la confiance des utilisateurs envers votre site et votre activité.

Si vous souhaitez aller plus loin dans la mise en conformité RGPD, n’hésitez pas à faire appel à un expert comme RGPD77 ou à consulter les recommandations de la CNIL.

RGPD et agences de voyage : comment assurer la conformité tout en offrant un service client optimal ?

Le secteur du voyage repose sur la collecte et le traitement de nombreuses données personnelles : identité, informations bancaires, préférences de voyage, exigences spécifiques (santé, alimentation, etc.). Avec le Règlement Général sur la Protection des Données (RGPD), les agences de voyage doivent adopter des pratiques rigoureuses pour garantir la protection des informations de leurs clients tout en maintenant un service fluide et personnalisé. Comment concilier ces deux exigences ? Voici les points clés.

1. Cartographier et sécuriser les données collectées

Avant toute chose, il est essentiel d’identifier les types de données collectées et les flux de transmission. Cela passe par :

  • Un registre des activités de traitement (obligatoire pour toute entreprise manipulant des données sensibles ou en quantité significative).
  • Une analyse des risques pour identifier les vulnérabilités et renforcer la sécurité.
  • Une politique de conservation des données limitant la durée de stockage aux strictes nécessités légales et commerciales.

2. Obtenir le consentement et informer les clients

Le RGPD impose une collecte de données transparente et loyale. Ainsi, les agences de voyage doivent :

  • Obtenir un consentement explicite pour chaque usage des données (newsletter, partage avec des partenaires, etc.).
  • Rendre les politiques de confidentialité accessibles et compréhensibles.
  • Permettre aux clients de gérer leurs préférences et de retirer leur consentement facilement.

3. Encadrer le partage des données avec les partenaires

Une agence de voyage collabore avec de nombreux partenaires : compagnies aériennes, hôtels, assureurs, plateformes de réservation… Le partage des données doit être encadré par :

  • Des clauses contractuelles conformes au RGPD.
  • Une vérification de la conformité des sous-traitants et partenaires.
  • Un suivi des transferts de données hors UE avec des garanties (clauses contractuelles types, certification Privacy Shield si éligible, etc.).

4. Assurer la protection des données contre les cyberattaques

Le secteur du tourisme est une cible privilégiée des cybercriminels. Pour limiter les risques :

  • Mettre en place des systèmes de chiffrement et d’authentification forte.
  • Sensibiliser les employés aux bonnes pratiques (hameçonnage, mots de passe, accès limités).
  • Prévoir un plan de gestion des violations de données et de notification à la CNIL et aux clients concernés.

5. Faciliter l’exercice des droits des clients

Les clients peuvent demander l’accès, la rectification ou la suppression de leurs données. Une agence conforme doit donc :

  • Mettre en place des procédures internes pour traiter ces demandes efficacement.
  • Offrir des moyens simples pour contacter le DPO ou le responsable RGPD.
  • Tenir un registre des demandes et des actions prises.

Une conformité RGPD, un atout commercial

Plutôt qu’une contrainte, la mise en conformité RGPD peut devenir un argument commercial :

  • Gagner la confiance des clients en leur garantissant un usage éthique de leurs données.
  • Se différencier de la concurrence en affichant des engagements clairs en matière de protection des données.
  • Éviter les sanctions et préserver la réputation de l’agence.

Avec une bonne gouvernance des données et des processus adaptés, les agences de voyage peuvent allier conformité et expérience client optimisée. Un investissement rentable et stratégique pour leur avenir !

Comprendre les Clauses Contractuelles Types (CCT) dans le cadre du RGPD

1. Définition des Clauses Contractuelles Types (CCT)

Les Clauses Contractuelles Types (CCT) sont des modèles de contrats approuvés par la Commission européenne permettant de sécuriser les transferts de données personnelles hors de l’Espace Économique Européen (EEE). Elles garantissent que les données transférées bénéficient d’un niveau de protection conforme au Règlement Général sur la Protection des Données (RGPD).

2. Pourquoi utiliser les CCT ?

L’utilisation des CCT est essentielle lorsque des données personnelles sont transférées vers des pays qui n’ont pas été reconnus par la Commission européenne comme offrant un niveau de protection adéquat. Elles permettent aux entreprises de :

  • Se conformer aux obligations légales du RGPD.
  • Assurer une protection adéquate des données personnelles.
  • Réduire les risques juridiques liés aux transferts internationaux de données.

3. Structure et contenu des CCT

Les CCT sont composées de plusieurs modules adaptés aux différents scénarios de transfert :

  • Module 1 : Responsable du traitement → Responsable du traitement.
  • Module 2 : Responsable du traitement → Sous-traitant.
  • Module 3 : Sous-traitant → Sous-traitant.
  • Module 4 : Sous-traitant → Responsable du traitement.

Chaque module inclut des obligations précises en matière de sécurité, de droits des personnes concernées et de coopération avec les autorités de contrôle.

4. Conditions d’application des CCT

Pour être valides, les CCT doivent être :

  • Signées par les parties concernées (exportateur et importateur des données).
  • Mises en œuvre avec des mesures de sécurité supplémentaires, si nécessaire, notamment suite à l’arrêt Schrems II qui a invalidé le Privacy Shield.
  • Soumises à une analyse des risques afin de s’assurer que les mesures prises sont suffisantes pour protéger les données.

5. Alternatives aux CCT

Les CCT ne sont pas le seul mécanisme permettant les transferts de données. D’autres solutions existent, comme :

  • Les règles d’entreprise contraignantes (BCR), destinées aux multinationales.
  • Les codes de conduite et certifications approuvés par les autorités de protection des données.
  • Le consentement explicite des personnes concernées, utilisé dans des cas exceptionnels.

6. Mise en conformité et bonnes pratiques

Pour garantir un transfert sécurisé des données personnelles :

  • Effectuer une analyse d’impact (AIPD) avant tout transfert à risque.
  • Mettre en place des mesures techniques et organisationnelles pour assurer la sécurité des données (chiffrement, pseudonymisation, contrôle des accès).
  • Sensibiliser les équipes juridiques et techniques sur les obligations liées aux transferts internationaux.

Conclusion

Les Clauses Contractuelles Types sont un outil essentiel pour assurer la conformité des transferts internationaux de données personnelles. Bien qu’elles nécessitent une mise en œuvre rigoureuse et des mesures de sécurité adaptées, elles restent l’un des mécanismes les plus utilisés pour encadrer les flux de données hors de l’UE en toute conformité avec le RGPD.