Foire aux questions RGPD

FAQ RGPD Généralités

J'ai mes numéros de déclarations à la CNIL, dois-je faire quelque chose?

Oui, vous devez vérifier la conformité de vos traitements de données personnelles. Le RGPD rend obsolète la quasi totalité des déclarations faites à la CNIL. 
En dehors des demandes d’autorisation spécifiques, ces formalités n’existent plus et sont remplacées par un principe de responsabilisation: je dois m’assurer d’être conforme et être en mesure de le démontrer. 

Puis-je me procurer une attestation de conformité RGPD?

Pas vraiment.  Et entre nous, faites attention aux arnaques….!
Il est possible d’adhérer à des codes de conduite spécifiques par secteur d’activité (lorsqu’il en existe), ou au standard ISO27701 mais cela n’est pas considéré, à ce jour, comme une certification par la CNIL. 
Le principe du RGPD est de vous inciter à vérifier vos traitements de données personnelles.

J'ai moins de 10 salariés, suis-je concerné?

Il n’y a pas de seuil de salariés, ni de critère de chiffre d’affaires pour être concerné par le RGPD, toutes les structures sont susceptibles d’être concernées. 
Cela dépend du type et du volume de données personnelles traitées. 

Y-a-t-il un seuil de chiffre d'affaires pour être concerné?

Il n’y a pas de seuil de salariés, ni de critère de chiffre d’affaires pour être concerné par le RGPD, toutes les structures sont susceptibles d’être concernées. 
Cela dépend du type et du volume de données personnelles traitées. 

Je suis dans le secteur industriel, suis-je concerné?

Il n’y a pas de statut spécifique, ou de métiers ciblés, toutes les organisations sont susceptibles d’être concernées, dès lors qu’elles traitent régulièrement des données personnelles. Cela dépend du type et du volume de données personnelles traitées. Dans le secteur industriel, les traitements de données personnelles concernent souvent la gestion du personnel. Vigilance particulière sur la vidéo surveillance des entrepôts et ateliers, ainsi que sur la géolocalisation des véhicules de société.

Je n'ai pas le statut d'entreprise à proprement parler car j'exerce une profession libérale, ou je dirige une association, suis-je concerné?

Il n’y a pas de statut spécifique, ou de métiers ciblés, toutes les organisations sont susceptibles d’être concernées, dès lors qu’elles traitent régulièrement des données personnelles. Cela dépend du type et du volume de données personnelles traitées. 

Ce sont des prestataires informatiques qui gèrent les données pour moi; je suppose qu'ils doivent être conformes. Suis-je responsable lorsque je sous-traite à un prestataire des traitements de données?

Tout à fait! Vous restez responsable des données que vous confiez à des prestataires informatiques. Il est donc nécessaire de vous assurer qu’ils présentent des garanties suffisantes en matière de «conformité RGPD» en particulier concernant leurs mesures de sécurité. Vous devez aussi leur donner des instructions relatives aux  traitements de données que vous leur confiez (contrat).

FAQ Prestations Diag Audit

En quoi consiste le diagnostic RGPD ?

Ce diagnostic permet d’avoir une vision d’ensemble sur le dispositif que vous avez mis en place ( ou devez mettre en place ), sur les principaux traitements de données que vous mettez en oeuvre, sur les mesures de sécurité que vous avez mises en place et si vous en avez sur votre site web et espace client.

Lors de la réunion de clôture, un rapport vous est livré en PDF, c’est un outil précieux d’aide à la décision pour prioriser les actions à mener, en fonction de votre contexte, de vos risques, et avoir à un instant T une photographie de votre niveau de conformité. Il s’agit d’un audit conseil en version simplifiée en général couplé avec un accompagnement à la mise en conformité.

Quelle est la différence entre le diagnostic et l'audit RGPD?

Tout comme le diagnostic RGPD, l’Audit est un outil d’amélioration continue: il permet de faire le point sur l’existant afin d’identifier les points faibles ou non conformes. Ce constat permet de prioriser les actions à mettre en oeuvre pour corriger les écarts relevés.

La réalisation de l’audit comme du diagnostic conduit l’auditeur à mener des opérations d’évaluation, d’investigation, de vérification ou de contrôle. L’audit RGPD couvre les items de manière plus détaillée que le diagnostic RGPD et s’appuie sur une analyse des risques davantage approfondie.

L’audit RGPD ne peut suivre immédiatement les prestations de conseil ou d’accompagnement d’i-etix : pour assurer l’objectivité et l’indépendance des évaluations, i-etix préconise un délai de deux ans avant de mener un audit après une prestation d’accompagnement/conseil.

Combien de temps faut-il prévoir pour réaliser un diagnostic RGPD?

Cela dépend notamment de la base documentaire dont vous disposez et du nombre de traitements de données que vous réalisez, votre contexte n’est pas la même que celui de votre voisin. C’est pourquoi i-etix ajuste la prestation à chaque entreprise..

A quels types de structures s'adresse l'audit RGPD?

L’audit peut intéresser n’importe quel type de structure, qu’un dispositif RGPD soit déjà en place ou pas. L’audit va permettre d’évaluer le niveau de maîtrise des dispositif en place et là où il n’y a pas de dispositif, l’audit va permettre d’identifier les thématiques les plus à risques et les moins maîtrisées, donc à couvrir de manière prioritaire. 

Comment est réalisé l'audit RGPD?

En premier lieu le profil de l’entreprise est établi: cela permet d’exclure les exigences qui ne vont pas la concerner. Ensuite sur la base d’une trame, i-etix aide l’entreprise à évaluer ses risques inhérents.
Puis i-etix passe en revue les pratiques en place par thématique: cela permet d’évaluer le niveau de maîtrise, les risques résiduels et les actions à mettre en place.
Lors de la réunion de clôture, un rapport PDF est livré, accompagné d’un plan d’actions.

Dois-je avoir un DPO pour faire un audit RGPD?

Non, ce n’est pas nécessaire. Néanmoins un interlocuteur privilégié doit être identifié, il est nécessaire qu’une personne pilote le dispositif RGPD et veille à l’implémentation des recommandations issues de l’audit.

FAQ Prestations Formations

Pour qui la formation RGPD est-elle une obligation?

Ce qui est nécessaire c’est de former les personnel qui traite des données personnelles ainsi que le responsable de traitement. Comprendre les exigences en matière de protection est une nécessité pour appliquer les pratiques adéquates au quotidien.

Que doit contenir la formation RGPD ?

Une formation RGPD doit permettre d’appréhender les principes fondamentaux de la réglementation, mais surtout de comprendre et assimiler comment cela s’applique au métier concerné. 

Qu'est-ce qu'un e-learning?

Un e-learning est une formation proposée à distance : le participant suit un parcours de formation, en autonomie, à son rythme.

Les formations standards peuvent-elles correspondre à mon activité ?

 Lors des premiers échanges, nous évaluons ensemble vos besoins, les cas pratiques des formations standard sont systématiquement ajustés à votre contexte.  Si besoin i-etix vous propose un programme sur mesure. 

Qu'est-ce qu'une formation intra-entreprise?

 Il s’agit d’une formation qui se déroule dans les locaux de l’entreprise cliente. Elles sont en général en nombre de participants imités pour permettre une interaction efficace entre le formateur et les apprenants. Les formations proposées par i-etix comprennent une partie théorique adaptée à l’activité de l’entreprise et une partie cas pratique au cours de laquelle des livrables spécifiques à l’entreprise sont réalisés.

Un e-learning peut-il être adapté à ma structure?

Oui, le contenu et la forme du e-learning peuvent être personnalisés.

Dois-je disposer d'un matériel particulier pour suivre un e-learning?

Le e-learning peut être suivi depuis n’importe quel type de terminal: ordinateur, Laptop, tablette, smartphone. 

FAQ Prestations Conseils

Comment savoir ce dont j'ai besoin?

Contactez i-etix un entretien préalable permettra de préciser vos besoins.

Qu'est-ce qu'un DPO externe?

Certains organismes sont dans l’obligation de désigner un DPO mais n’ont pas les ressources en interne. Dans ce cas il leur est possible de désigner un DPO (délégué à la protection des données) externe à leur organisme, sous couvert d’un contrat de prestation de service et à condition que cette personne remplisse les critères de compétences exigées par le RGPD (art. 37.5)

Qu'est-ce qu'une AIPD?

Une AIPD - Analyse d’Impact sur la Protection des Données - est une étude de risques à mener lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées 

Suis-je dans l'obligation de faire une/ des AIPD?

Pour vérifier faites le diagnostic gratuit proposé par i-etix: cliquez ici

Que doit contenir une AIPD?

De manière synthétique, une AIPD contient à minima les éléments ci-dessous:
- Description du traitement de données personnelles
- Analyse du respect des principes fondamentaux  
- Évaluation des risques sur la sécurité des données personnelles et de leurs impacts pour les personnes concernées 
- Évaluation de l’adéquation des mesures de sécurité
- Définition des mesures complémentaires le cas échéant.

FAQ Ass Expresse

En quoi consiste l'évaluation de conformité d'un nouveau traitement?

Lorsque vous envisagez de mettre en œuvre un nouveau traitement de données, par exemple vous souhaitez installer un système de vidéosurveillance dans les locaux de l’organisme, vous devez au préalable vous assurer de sa conformité. i-etix peut vous aider à établir les critères de conformité et rédiger les spécifications attendues pour les prestataires qui vous proposeront le système.

Est-ce que j'obtiens une garantie de conformité?

Non, i-etix ne délivre pas de garantie de conformité, ce type de garantie n’existe pas. Il est du reste rare (impossible?) d’atteindre le 100% conforme en matière de protection des données notamment car les exigences portent sur de nombreux aspects: aussi bien techniques, qu’organisationnels. Il s’agit d’une approche par les risques: l’objectif est de réduire au maximum les risques liés au traitement de données personnelles.

Qu'est-ce que l'assistance expresse?

Vous avez une question précise? un problème épineux? Pointu? Envoyez votre demande à i-etix pour obtenir une réponse rapide (72h) et personnalisée.

Foire aux questions RGPD