Protection des données personnelles
Réussir sa mise en conformité
2e édition
Editions Legislatives
Apports du RGPD et de la loi Informatique et libertés11
Dispositions générales, dispositions spécifiques et principes du RGPD
13
Objet et objectifs du RGPD14
Dispositions générales du RGPD14
Principes généraux du RGPD19
Dispositions spécifiques à certaines données ou certains traitements23
Droits des personnes concernées
29
Droit d'information et d'accès aux données personnelles30
Droit de rectification et d'effacement (ou « droit à l'oubli ») des données personnelles32
Droit à la limitation du traitement de données personnelles34
Droit à la portabilité des données personnelles35
Droit d'opposition à un traitement de données personnelles35
Droit de ne pas faire l'objet d'une décision individuelle automatisée y compris le profilage36
Limitations aux droits de la personne concernée37
Obligations des responsables du traitement et des sous-traitants
39
Obligations au sein de l'Union40
Obligations hors UE en cas de transfert de données50
Voies de recours, responsabilité et sanctions
55
Droit à un recours juridictionnel effectif contre une autorité de contrôle56
Droit de recours effectif contre un responsable du traitement ou un sous-traitant56
Représentation des personnes concernées57
Suspension d'une action57
Droit à réparation et responsabilité57
Amendes administratives59
Sanctions60
Autorités de contrôle indépendantes
61
Pluralité d'autorités de contrôle62
Adaptation de la loi Informatique et libertés
69
Modifications apportées à la loi Informatique et libertés70
Se mettre en conformité étape par étape93
Déterminer si le RGPD est applicable
95
Êtes-vous concerné par le RGPD ?96
Déterminer son statut au regard du RGPD103
Identifier son autorité chef de file113
Nommer un DPO
119
Déterminer si la désignation d'un DPO est obligatoire120
Choisir un DPO125
Garantir la fonction du DPO132
Définir les missions du DPO137
Garantir la licéité du traitement
141
Déterminer la base juridique d'un traitement142
Gérer le consentement des personnes concernées148
Définir les durées de conservation des données158
Connaître les règles applicables au traitement des données sensibles165
Garantir le privacy by design et by default174
Gérer les droits des personnes concernées
185
Informer les personnes concernées186
Gérer les droits d'accès, de rectification, d'effacement, à limitation et d'opposition des personnes concernées195
Gérer une demande de portabilité des données214
Gérer le sort des données après le décès223
Encadrer le profilage227
Tenir un registre des activités de traitement
235
Établir et tenir à jour le registre des activités de traitement236
Mener une analyse d'impact relative à la protection des données
249
Évaluer les risques et établir une analyse d'impact250
Assurer la sécurité des données
269
Optimiser la sécurité des traitements270
Gérer une violation de données personnelles274
Gérer la conformité dans les contrats
289
Conditions générales de vente BtoC : qu'elles règles d'information en matière de protection des données ?290
Adapter les contrats de sous-traitance296
Adapter les contrats d'achat de prestations technologiques305
Adapter les contrats informatiques d'intégration de solutions composites310
Adapter les contrats de prestations intellectuelles318
Adapter les appels d'offres privés321
Adapter les marchés publics324
Encadrer les transferts de données hors de l'Union européenne
331
Sécuriser les transferts internationaux de données332
Obtenir une certification et adhérer à un code de conduite
347
Obtenir une certification pour prouver sa conformité348
Adhérer à un code de conduite pour prouver sa conformité353
Gérer un contrôle de la CNIL
359
Maîtriser le cadre légal des contrôles de la CNIL360
Faire face à un contrôle de la CNIL367
Retours d'expériences375
Avant-propos377
Présentation de l'AFCDP378
Flore Bonhomme, DPO de la région Normandie379
Guillaume Pourquie, DPO de Grenoble
École de management383
DPO d'un conseil départemental386
DPO d'une autorité publique indépendante389
DPO d'un groupe d'assurance391
Documents pratiques395
Délégué à la protection des données (DPO)
397
Charte AFCDP de déontologie des DPO398
Fiche de poste de DPO413
Lettre de mission de DPO418
Mise en conformité avec le RGPD
421
Critères du référentiel de certification des compétences du DPO422
S'assurer que son traitement est licite423
Test de compatibilité entre les finalités d'un traitement de données ultérieur et les finalités initiales424
Informations à fournir en cas de collecte directe425
Informations à fournir en cas de collecte indirecte426
Informations à fournir en cas d'exercice du droit d'accès427
Motifs autorisant la personne concernée à exercer son droit à l'effacement428
Traitements exclus du droit à l'effacement428
Conditions pour bénéficier du droit à la portabilité429
Critères du CEPD à prendre en compte pour la réalisation d'une analyse d'impact429
Critères permettant de déterminer qu'une analyse d'impact est complète430
Critères permettant de déterminer qu'une analyse d'impact n'est pas nécessaire431
Informations à fournir à l'autorité de contrôle en cas de risque résiduel élevé dans un traitement432
Procédure à suivre en cas de traitement à risque potentiellement élevé432
Questions à poser à un sous-traitant potentiel433
Clauses obligatoires à insérer dans le contrat entre le responsable du traitement et le sous-traitant434
Critères du référentiel d'agrément d'organismes de certification des compétences du DPO435
Modèle de registre des violations de données personnelles437
Procédure interne relative à la violation de données personnelles439
Lignes directrices du CEPD commentées
441
Les lignes directrices et avis du CEPD (ex-G29)442
Clauses contractuelles relatives à la protection des données personnelles
449
Modèle de clause dans les CGV de commerce électronique450
Modèle de clause et annexe DPA dans un contrat informatique d'intégration de solutions composites455
Modèle de clause dans un contrat de prestations intellectuelles463
Modèle de clause dans les marchés publics466
Modèle de clause dans un contrat de transfert de données en dehors de l'UE470