Quelles sont les bases juridiques du traitement au titre du RGPD ?

L'article 6 définit six bases juridiques : (1) Consentement, (2) Contrat, (3) Obligation légale, (4) Intérêts vitaux, (5) Mission d'intérêt public, (6) Intérêts légitimes. Chacune a des exigences et des limitations spécifiques.

Que sont les clauses contractuelles types (CCT) pour les transferts internationaux ?

Les CCT sont des conditions contractuelles standardisées approuvées par la Commission européenne pour le transfert de données personnelles vers des pays sans décision d'adéquation. Suite à l'arrêt Schrems II, vous devez également réaliser une évaluation de l'impact du transfert pour déterminer si le pays destinataire offre une protection adéquate.

Règlement Général sur la Protection des Données

Guide de mise en conformité RGPD

Le Règlement Général sur la Protection des Données de l'UE est la loi sur la protection des données la plus stricte au monde. Que vous traitiez des données de résidents de l'UE depuis n'importe où dans le monde, nous vous aidons à mettre en oeuvre les droits des personnes concernées, les AIPD, la notification de violation et la responsabilité avec des processus clairs et des preuves.

Commencer l'évaluation RGPD Réserver un appel de conformité

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (UE) 2016/679 est une loi complète sur la protection des données entrée en vigueur le 25 mai 2018. Le RGPD s'applique à toute organisation traitant des données personnelles d'individus dans l'Union européenne, quelle que soit la localisation de l'organisation.

Pourquoi c'est important : Le RGPD a une portée extraterritoriale et des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Il établit la norme mondiale pour la protection des données et influence les lois sur la vie privée dans le monde entier.

Exécutoire

Sanctions significatives pour les infractions

Extraterritorial

S'applique mondialement pour le traitement de données de l'UE

Complète la conformité à la loi européenne sur l'IA et s'aligne avec la gouvernance des données ISO 42001.

Qui a besoin de la conformité RGPD ?

Toute organisation traitant des données personnelles de l'UE

S'applique indépendamment de la localisation si vous traitez des données de résidents de l'UE

Entreprises d'IA traitant des données d'utilisateurs

Systèmes d'IA utilisant des données personnelles pour l'entraînement ou la prise de décision

Fournisseurs de services cloud

Fournisseurs SaaS, PaaS, IaaS stockant ou traitant des données de l'UE

Entreprises de marketing et AdTech

Organisations utilisant des données personnelles pour le ciblage ou le profilage

Systèmes de santé et RH

Traitement de catégories spéciales de données personnelles sensibles

E-commerce et plateformes en ligne

Collecte de données clients pour les transactions ou les services

Comment VerifyWise soutient la conformité RGPD

VerifyWise fournit un préréglage de conformité RGPD combinant les obligations de protection des données et de non-discrimination dans un flux de travail structuré unique

Exigence RGPD

Couverture VerifyWise

Analyse d'impact relative à la protection des données

Élément de checklist structuré pour la réalisation et la documentation de l'AIPD

Justification de la prise de décision automatisée

Élément de checklist pour documenter la base juridique et la nécessité au titre de l'article 22

Évaluation des caractéristiques protégées

Catégories préconfigurées pour l'âge, le handicap, le genre, la race, la religion, le sexe et l'orientation sexuelle

Procédures de contrôle humain

Élément de checklist dédié pour documenter la supervision et les processus de révision humaine

Capacités de conformité supplémentaires

Inventaire et registre des traitements de données

Tenez des registres complets de toutes les activités de traitement (Article 30). Documentez la base juridique, les catégories de données, les durées de conservation et les transferts vers des tiers pour chaque opération de traitement. VerifyWise génère des registres conformes au RGPD qui satisfont les audits des autorités de contrôle.

Couvre : Article 30 : Registre des activités de traitement

Analyses d'impact relatives à la protection des données (AIPD)

Réalisez des AIPD structurées pour les activités de traitement à haut risque à l'aide de flux de travail guidés (Article 35). Évaluez la nécessité, la proportionnalité, les risques pour les personnes concernées et les mesures d'atténuation. Suivez automatiquement le statut des AIPD et les exigences de consultation préalable.

Couvre : Article 35 : Analyse d'impact relative à la protection des données

Gestion des droits des personnes concernées

Gérez les huit droits des personnes concernées avec des flux de travail structurés et des pistes d'audit. Suivez les demandes d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Générez des réponses conformes dans le délai de 30 jours.

Couvre : Articles 15-22 : Droits des personnes concernées

Notification de violation et réponse aux incidents

Gérez les violations de données avec des flux de travail automatisés pour la notification de l'autorité de contrôle dans les 72 heures (Article 33) et la communication aux personnes concernées (Article 34). Documentez l'évaluation de la violation, l'évaluation de l'impact et les actions correctives.

Couvre : Articles 33-34 : Exigences de notification de violation

Gestion du consentement et suivi de la base juridique

Documentez la base juridique pour chaque activité de traitement (Article 6). Pour les traitements fondés sur le consentement, conservez la preuve d'un consentement libre, spécifique, éclairé et univoque. Suivez les demandes de retrait et la cessation du traitement.

Couvre : Article 6 : Licéité du traitement, Article 7 : Consentement

Gouvernance des sous-traitants et des transferts

Gérez les contrats de sous-traitance avec les clauses requises par le RGPD (Article 28). Suivez les transferts internationaux à l'aide des clauses contractuelles types, des décisions d'adéquation ou des dérogations (Chapitre V). Maintenez des évaluations d'impact des transferts pour les pays sans protection adéquate.

Couvre : Article 28 : Sous-traitant, Articles 44-50 : Transferts

Toutes les activités de conformité RGPD sont suivies avec des horodatages, des propriétaires assignés et des flux d'approbation. Cette piste d'audit démontre la responsabilité et la conformité systématique plutôt qu'une documentation créée après coup.

Couverture complète des principes du RGPD

VerifyWise fournit des outils dédiés pour tous les principes et exigences du RGPD

Principes fondamentaux du RGPD

Articles associés avec des outils dédiés

100%

Couverture de tous les principes

Licéité, loyauté, transparence5/5

Base juridique, traitement loyal, communication transparente

Limitation des finalités3/3

Finalités spécifiées, utilisation compatible, documentation

Minimisation des données2/2

Collecte adéquate, pertinente et limitée

Exactitude2/2

Données exactes, mises à jour, effacement des données inexactes

Limitation de la conservation2/2

Durées de conservation, critères d'archivage, suppression

Intégrité et confidentialité3/3

Mesures de sécurité, protection contre les accès non autorisés

Responsabilité4/4

Démontrer la conformité, registres de traitement, gouvernance

Conçu pour la conformité RGPD dès le départ

Automatisation des registres Article 30

Générez des registres conformes des activités de traitement

Flux de travail des droits des personnes

Gérez les 8 droits avec un suivi du délai de 30 jours

Notification de violation sous 72 heures

Flux de travail automatisés pour la conformité aux Articles 33-34

Correspondance multi-référentiels

Correspondance avec la loi sur l'IA et les exigences ISO 42001

Huit principes du RGPD

Principes fondamentaux qui régissent tout traitement de données personnelles au titre du RGPD

Licéité, loyauté et transparence

Traitez les données personnelles de manière licite, loyale et transparente. Identifiez la base juridique et communiquez clairement le traitement aux personnes concernées.

Base juridique documentée pour chaque activité de traitement
Traitement loyal sans tromperie ni coercition
Avis de confidentialité transparents en langage clair
Information accessible sur le traitement
Communication des droits des personnes concernées

Limitation des finalités

Collectez les données pour des finalités déterminées, explicites et légitimes. Ne traitez pas à des fins incompatibles sans nouveau consentement.

Finalités spécifiées documentées avant la collecte
Communication explicite des finalités
Finalités légitimes conformes aux attentes
Évaluation de la compatibilité pour les nouvelles utilisations
Restrictions sur les traitements ultérieurs

Minimisation des données

Collectez uniquement les données adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités déclarées.

Évaluation de la nécessité pour chaque élément de données
Données adéquates pour atteindre les finalités
Données pertinentes sans collecte excessive
Révision régulière des données collectées
Minimisation dès la conception

Exactitude

Maintenez des données personnelles exactes et à jour. Effacez ou rectifiez sans délai les données inexactes.

Vérifications régulières de l'exactitude des données
Mises à jour rapides en cas d'inexactitudes identifiées
Effacement des données inexactes
Droits de rectification des personnes concernées
Procédures de vérification de l'exactitude

Limitation de la conservation

Conservez les données personnelles uniquement le temps nécessaire aux finalités spécifiées. Définissez des durées de conservation et des procédures de suppression.

Durées de conservation documentées par catégorie de données
Conservation justifiée par la finalité
Suppression ou anonymisation après conservation
Critères d'archivage pour une conservation plus longue
Révisions régulières de la suppression

Intégrité et confidentialité

Traitez les données de manière sécurisée pour les protéger contre l'accès non autorisé, la perte, la destruction ou les dommages. Mettez en oeuvre des mesures techniques et organisationnelles appropriées.

Mesures de sécurité appropriées au risque
Protection contre les accès non autorisés
Prévention de la perte ou des dommages aux données
Chiffrement et pseudonymisation le cas échéant
Tests et évaluation réguliers de la sécurité

Responsabilité

Démontrez la conformité avec tous les principes du RGPD. Maintenez la documentation, mettez en oeuvre la gouvernance et assurez la conformité continue.

Registres des activités de traitement
Politiques et procédures de protection des données
Formation et sensibilisation du personnel
AIPD pour les traitements à haut risque
Preuves des mesures de conformité

Protection des données dès la conception et par défaut

Intégrez la protection des données dès la conception des systèmes. Traitez uniquement les données nécessaires par défaut. Intégrez la vie privée dans toutes les opérations de traitement.

Vie privée intégrée dans la conception des systèmes
Protection des données comme paramètre par défaut
Traitement minimal des données par défaut
Technologies renforçant la vie privée
Révisions régulières de la vie privée

Huit droits des personnes concernées

Le RGPD accorde aux individus des droits complets sur leurs données personnelles

Droit d'accès

Les personnes concernées peuvent demander la confirmation du traitement et obtenir une copie de leurs données personnelles.

Article 15

Exigences

Confirmer si des données sont traitées
Fournir une copie des données
Divulguer les finalités du traitement
Réponse sous 30 jours

Droit de rectification

Les personnes concernées peuvent demander la correction de données personnelles inexactes et la complétion de données incomplètes.

Article 16

Exigences

Corriger rapidement les données inexactes
Compléter les données incomplètes
Communiquer aux destinataires
Réponse sous 30 jours

Droit à l'effacement

Les personnes concernées peuvent demander la suppression de leurs données personnelles dans certaines circonstances (droit à l'oubli).

Article 17

Exigences

Supprimer lorsque plus nécessaire
Consentement retiré
Traitement illicite
Obligation légale d'effacer

Droit à la limitation

Les personnes concernées peuvent demander la limitation du traitement dans certaines circonstances pendant la vérification de l'exactitude ou de la licéité.

Article 18

Exigences

Limiter pendant la vérification de l'exactitude
Limiter si traitement illicite
Marquer les données limitées
Communiquer les limitations

Droit à la portabilité des données

Les personnes concernées peuvent recevoir leurs données dans un format structuré et lisible par machine et les transmettre à un autre responsable du traitement.

Article 20

Exigences

Fournir les données en format lisible par machine
Permettre la transmission directe
S'applique au traitement automatisé
Basé sur le consentement ou le contrat

Droit d'opposition

Les personnes concernées peuvent s'opposer au traitement fondé sur les intérêts légitimes, le marketing direct ou la recherche.

Article 21

Exigences

Cesser le traitement en cas d'opposition
Prouver des motifs légitimes impérieux
Toujours cesser le traitement marketing
Informer du droit d'opposition

Droits relatifs à la prise de décision automatisée

Les personnes concernées ont des droits concernant les décisions entièrement automatisées ayant des effets juridiques ou significatifs, y compris le profilage.

Article 22

Exigences

Droit de ne pas être soumis à des décisions automatisées
Fournir une option d'intervention humaine
Expliquer la logique des décisions automatisées
Permettre l'expression de son point de vue

Droit de retirer le consentement

Les personnes concernées peuvent retirer leur consentement à tout moment, et le retrait doit être aussi facile que le don du consentement.

Article 7(3)

Exigences

Mécanisme de retrait facile
Instructions de retrait claires
Cesser le traitement en cas de retrait
Informer du droit avant le consentement

Feuille de route de mise en oeuvre sur 26 semaines

Un parcours pratique vers la conformité RGPD avec des jalons clairs

Phase 1Semaines 1-6

Fondation et analyse des écarts

Désigner un Délégué à la Protection des Données (si requis)
Réaliser une évaluation de préparation au RGPD
Créer un inventaire des traitements de données
Identifier les activités de traitement à haut risque
Réviser les avis de confidentialité existants

Phase 2Semaines 7-14

Documentation et politiques

Documenter la base juridique de tous les traitements
Mettre à jour les avis et politiques de confidentialité
Créer les registres des activités de traitement (Article 30)
Mettre en place les procédures des droits des personnes
Développer le processus et les modèles d'AIPD

Phase 3Semaines 15-22

Mesures techniques et organisationnelles

Mettre en oeuvre les mesures de sécurité appropriées au risque
Déployer la protection de la vie privée dès la conception dans les nouveaux systèmes
Établir les procédures de notification de violation
Réviser les contrats et accords de sous-traitance
Réaliser des AIPD pour les traitements à haut risque

Phase 4Semaines 23-26

Conformité et surveillance continue

Formation du personnel aux exigences du RGPD
Tester les procédures des droits des personnes
Mettre en oeuvre la surveillance continue de la conformité
Planifier des audits RGPD réguliers
Établir la responsabilité et la gouvernance

Application et sanctions

Les sanctions RGPD sont significatives et appliquées

Les autorités de contrôle du RGPD appliquent activement les sanctions pour les infractions avec des amendes administratives atteignant des centaines de millions d'euros.

Infractions de niveau inférieur

Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial

Exemples d'infractions :

Défaut de tenue des registres (Article 30)
Mesures de sécurité insuffisantes (Article 32)
Non-conformité aux exigences de sous-traitance (Article 28)
Notification inadéquate de violation à l'autorité de contrôle (Article 33)

Infractions de niveau supérieur

Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial

Exemples d'infractions :

Traitement illicite (Articles 5, 6, 9)
Violation des droits des personnes concernées (Articles 12-22)
Transferts internationaux non autorisés (Chapitre V)
Non-conformité aux injonctions de l'autorité de contrôle (Article 58)

Actions d'application notables : Amazon (746 M EUR), Meta/WhatsApp (225 M EUR), Google Ireland (90 M EUR), H&M (35 M EUR). Les autorités de contrôle tiennent compte de la gravité, de la durée, de l'intentionnalité, des catégories de données, du nombre de personnes affectées et de la coopération pour déterminer les amendes.

Voir le suivi des mesures d'application du Comité européen de la protection des données →

Commencer l'évaluation de conformité RGPD

Modèles de politiques

Référentiel complet de politiques RGPD

Accédez à 37 modèles de politiques de protection des données prêts à l'emploi, alignés sur le RGPD, la loi européenne sur l'IA et les exigences ISO 42001

Politiques RGPD essentielles

• Politique de protection des données
• Modèles d'avis de confidentialité
• Politique de gestion du consentement
• Procédures des droits des personnes
• Registres des activités de traitement
• Politique et modèles d'AIPD
+ 6 autres politiques

Sécurité et violations

• Politique de sécurité des données
• Procédures de notification de violation
• Plan de réponse aux incidents
• Politique de conservation et de suppression
• Politique de contrôle d'accès
• Standards de chiffrement
+ 5 autres politiques

Sous-traitants et transferts

• Accord de traitement des données
• Politique de gestion des fournisseurs tiers
• Politique de transfert international
• Clauses contractuelles types
• Évaluation de l'impact des transferts
• Gestion des sous-traitants
+ 4 autres politiques

Parcourir tous les modèles de politiques

Questions fréquemment posées

Questions courantes sur la mise en conformité RGPD

Le Règlement Général sur la Protection des Données (UE) 2016/679 a été adopté le 27 avril 2016 et est devenu applicable le 25 mai 2018. Les organisations disposaient d'une période de transition de deux ans pour se mettre en conformité. Consultez le texte complet du règlement pour tous les détails.

Oui, le RGPD a une portée extraterritoriale. Il s'applique à toute organisation traitant des données personnelles d'individus dans l'UE, quelle que soit la localisation de l'organisation. Cela inclut l'offre de biens ou de services aux résidents de l'UE ou le suivi de leur comportement. Les entreprises américaines, asiatiques et toute organisation mondiale doivent se conformer si elles traitent des données personnelles de l'UE.

Le RGPD impose deux niveaux d'amendes administratives. Les infractions de niveau inférieur peuvent entraîner des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé). Les infractions de niveau supérieur peuvent entraîner des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé). Les autorités de contrôle tiennent compte de la gravité, de la durée, de l'intentionnalité et de la coopération pour déterminer les sanctions.

Un responsable du traitement détermine les finalités et les moyens du traitement des données personnelles et a la responsabilité principale de la conformité au RGPD. Un sous-traitant traite les données personnelles pour le compte du responsable du traitement dans le cadre d'un contrat. Par exemple, une entreprise SaaS utilisant AWS est généralement le responsable du traitement, tandis qu'AWS agit comme sous-traitant. Les deux ont des obligations spécifiques au titre du RGPD, mais les responsables du traitement ont une responsabilité plus large.

L'article 37 exige un DPO lorsque : (1) le traitement est effectué par une autorité publique, (2) les activités de base impliquent un suivi régulier et systématique à grande échelle des personnes concernées, ou (3) les activités de base impliquent un traitement à grande échelle de catégories spéciales de données. Le Comité européen de la protection des données fournit des orientations détaillées sur les exigences relatives au DPO.

L'article 6 définit six bases juridiques : (1) Consentement - libre, spécifique, éclairé et univoque ; (2) Contrat - nécessaire à l'exécution d'un contrat ; (3) Obligation légale - exigée par le droit de l'UE ou d'un État membre ; (4) Intérêts vitaux - protection de la vie ; (5) Mission d'intérêt public - autorité officielle ou intérêt public ; (6) Intérêts légitimes - intérêts légitimes du responsable du traitement équilibrés avec les droits des personnes concernées (non disponible pour les autorités publiques).

L'article 35 exige des AIPD pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cela inclut : le profilage systématique et extensif, le traitement à grande échelle de catégories spéciales de données et la surveillance systématique à grande échelle de zones accessibles au public. Les AIPD évaluent la nécessité, la proportionnalité, les risques et les mesures d'atténuation. Consultez l'autorité de contrôle si le risque élevé ne peut être atténué.

Les CCT sont des conditions contractuelles standardisées approuvées par la Commission européenne pour le transfert de données personnelles vers des pays sans décision d'adéquation (Article 46). Suite à l'arrêt Schrems II, vous devez également réaliser une évaluation de l'impact du transfert pour déterminer si le pays destinataire offre une protection adéquate. Consultez la page de la Commission européenne pour les CCT mises à jour.

L'article 12 exige des réponses aux demandes d'exercice des droits sans retard injustifié et dans un délai d'un mois à compter de la réception. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes ou nombreuses, mais vous devez informer la personne concernée de la prolongation et des motifs dans le premier mois. Le délai commence lorsque vous recevez la demande et vérifiez l'identité du demandeur.

L'article 17 accorde aux personnes concernées le droit à l'effacement (droit à l'oubli) dans des circonstances spécifiques : données plus nécessaires à la finalité initiale, consentement retiré sans autre base juridique, opposition au traitement, traitement illicite, obligation légale d'effacement ou données collectées auprès d'enfants pour des services de la société de l'information. Ce droit n'est pas absolu - des exemptions existent pour les obligations légales, l'intérêt public et les intérêts légitimes.

Le RGPD et la loi européenne sur l'IA sont complémentaires. Le RGPD régit le traitement des données personnelles, tandis que la loi sur l'IA réglemente les systèmes d'IA selon leur niveau de risque. Les systèmes d'IA traitant des données personnelles doivent se conformer aux deux. Par exemple, un outil de recrutement basé sur l'IA doit satisfaire les droits des personnes concernées du RGPD (accès, explication) et les exigences de la loi sur l'IA (supervision humaine, transparence). De nombreuses obligations se chevauchent et se renforcent mutuellement.

Oui, VerifyWise fournit des outils complets de conformité RGPD incluant les registres des activités de traitement (Article 30), les flux de travail d'AIPD, la gestion des droits des personnes concernées, les procédures de notification de violation et la gestion des sous-traitants. Nous associons les exigences du RGPD à vos contrôles et générons une documentation prête pour l'audit. Nous fournissons également des correspondances avec la loi européenne sur l'IA et l'ISO 42001 pour une conformité intégrée.

Prêt à atteindre la conformité RGPD ?

Commencez votre parcours de conformité RGPD avec notre évaluation guidée et nos outils de mise en oeuvre.

Commencer l'évaluation RGPD Planifier une consultation