COMPÉTENCE B3.

1
SÉQUENCE 1 - PRÉPARER DES SÉANCES
DE SENSIBILISATION ET DE COMMUNICATION SUR LES
DONNÉES À CARACTÈRE PERSONNEL (DCP) ET LEUR TRAITEMENT

SYNTHÈSE

Contenu
1. R
 appels théoriques������������������������������������������������������������������������������������������������������������������������������� 1
2. Applications pratiques������������������������������������������������������������������������������������������������������������������������������5
3. Conseils�����������������������������������������������������������������������������������������������������������������������������������������������������7

NOTIONS CLÉS
— RGPD
— Données à caractère personnel
— Sensibilisation des équipes
— Le DPO

1. Rappels théoriques
Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018,
renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui
traitent leurs données.
Les données sont devenues un élément essentiel pour les organisations, qui permet la création de
valeur si celles-ci sont bien exploitées et les utilisateurs sont de plus en plus sensibles à l’utilisation de
leurs données et principalement à leur protection.
La mise en place du RGPD permet de mettre en place un facteur de confiance à l’égard des utilisateurs
et de se prémunir au niveau juridique pour les responsables des traitements de données.
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En
effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles
pour son compte ou non, dès lors :
— qu’elle est établie sur le territoire de l’Union européenne ;
— que son activité cible directement des résidents européens.

CNED – BTS SIO – BLOC 3 – B3.1 – – SÉQUENCE 1 – Synthèse – –1

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte
d’autres organismes. Ainsi, toute organisation qui traite ou collecte des données pour le compte d’une
autre entité (entreprise, collectivité, association), se doit de respecter des obligations spécifiques pour
garantir la protection des données qui lui sont confiées (voir chapitre 5 « La sous-traitance », page 44).
Plus qu’une obligation légale, se conformer au RGPD peut permettre à l’organisation de se questionner
sur les traitements mis en place et l’utilité de certaines données.
Le RGPD peut être une opportunité managériale pour l’organisation.

Le RGPD concerne en particulier les données à caractère personnel qui peuvent être définies comme
toute information se rapportant à une personne physique identifiée ou identifiable.
Données personnelles

CNED – BTS SIO – BLOC 3 – B3.1 – – SÉQUENCE 1 – Synthèse – –2

Une personne peut être identifiée :
— soit à partir d'une d’un seule donnée ;
— soit du croisement d’un ensemble de données.
Quelle que soit l’utilisation de ces données celles-ci subissent un traitement, c’est-à-dire une opération,
ou un ensemble d’opérations tel que la collecte, l’enregistrement, l’organisation, la conservation,
l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission
diffusion ou toute autre forme de mise à disposition, le rapprochement.
Un traitement de données personnelles concerne à la fois les traitements informatisés, mais aussi les
fichiers papier qui doivent recevoir la même attention que les fichiers informatisés.
Pour qu’un traitement soit en corrélation avec le RGPD, il doit avoir un objectif, une finalité, ainsi il
est contraire au RGPD de collecter ou de traiter des données personnelles dans le simple cas où l’on
suppose qu’elles pourraient être utiles un jour.
Un traitement de données doit avoir un objectif, une finalité déterminée préalablement dans un
document appelé recueil des données où sera décrit leur exploitation et l’objectif de celle-ci.
Chaque traitement doit être licite en étant conforme au droit en général et reposer sur l’une des six
« bases légales » permises par le RGPD.

Les organisations doivent désigner un délégué à la protection des données (DPO).

CNED – BTS SIO – BLOC 3 – B3.1 – – SÉQUENCE 1 – Synthèse – –3

Le DPO doit être choisi sur la base de ses connaissances du droit et des pratiques en matière
d’application du RGPD. Toutefois, le RGPD n’impose pas aux organismes de recourir à une profession
particulière pour la désignation de leur DPO : aucun agrément n’est prévu, aucune exigence de diplôme
ou condition statutaire n’est fixée. Il peut donc s’agir d’une personne physique ou morale issue du secteur
juridique ou technique, en interne à la collectivité ou en externe (avocat, consultant, etc.).
Les compétences pourront être acquises ou développées au moyen d’un plan de formation adapté au
profil du délégué. Les compétences pourront être attestées, sans qu’il n’y ait aucune obligation en la
matière, par le recours à un mécanisme de certification, tel que celui établi.

CNED – BTS SIO – BLOC 3 – B3.1 – – SÉQUENCE 1 – Synthèse – –4

2. Applications pratiques
La démarche de conformité RGPD ne doit pas être perçue que comme une contrainte technique ou
juridique. Elle permet à l’organisation d’effectuer une analyse approfondie sur les traitements utilisés et
les données concernées.
Pour mettre en place le RGPD il faut suivre différentes étapes dont certaines doivent se faire de façon
continue et active.

CNED – BTS SIO – BLOC 3 – B3.1 – – SÉQUENCE 1 – Synthèse – –5

CNED – BTS SIO – BLOC 3 – B3.1 – – SÉQUENCE 1 – Synthèse – –6
3. Conseils
Il faut respecter 6 bons réflexes qui peuvent être utiles lors de la mise en place du RGPD et de la
sensibilisation des équipes d’une organisation.
Ne collectez que les données vraiment nécessaires pour atteindre votre objectif
Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieure-
ment de façon incompatible avec cet objectif initial.
Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur
et évite la collecte de données "au cas où".
Le principe de minimisation limite la collecte aux seules données strictement nécessaires à la
réalisation de votre objectif.

Être transparent
Les utilisateurs doivent conserver la maîtrise des données qui les concernent. Cela suppose qu'ils soient
clairement informés de l'utilisation qui sera faite de leurs données dès leur collecte. Les données ne
peuvent en aucun cas être collectées à leur insu. Les personnes doivent également être informées de
leurs droits et des modalités d'exercice de ces droits.

Organisez et facilitez l'exercice des droits des utilisateurs

Organiser les modalités permettant aux utilisateurs d’exercer leurs droits et répondre dans les meilleurs
délais à ces demandes de consultation ou d'accès, de rectification ou de suppression des données, voire
d'opposition, sauf si le traitement répond à une obligation légale. Ces droits doivent pouvoir s'exercer par
voie électronique à partir d'une adresse dédiée.

Fixez des durées de conservation

Ne pas conserver les données indéfiniment. Elles ne sont conservées en "base active", c'est-à-dire
la gestion courante, que le temps strictement nécessaire à la réalisation de l'objectif poursuivi. Elles
doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales
applicables en matière de conservation des archives.

Sécurisez les données et identifiez les risques

Prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité
informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et
droits d'accès informatiques. Cela consiste aussi à s'assurer que seuls les tiers autorisés par des textes
ont accès aux données. Ces mesures sont adaptées en fonction de la sensibilité des données ou des
risques qui peuvent peser sur les personnes en cas d'incident de sécurité.

Inscrivez la mise en conformité dans une démarche continue

La conformité n'est pas gravée dans le marbre et figée. Elle dépend du bon respect au quotidien par les
agents, à tous les niveaux, des principes et mesures mis en œuvre. Vérifiez régulièrement que les traite-
ments n'ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respec-
tées et adaptez-les si besoin.

CNED – BTS SIO – BLOC 3 – B3.1 – – SÉQUENCE 1 – Synthèse – –7

Les cours du CNED sont strictement réservés à l’usage privé de leurs destinataires et ne sont pas destinés à une utilisation collec-
tive. Les personnes qui s’en serviraient pour d’autres usages, qui en feraient une reproduction intégrale ou partielle, une traduc-
tion sans le consentement du CNED, s’exposeraient à des poursuites judiciaires et aux sanctions pénales prévues par le Code de la
propriété intellectuelle. Les reproductions par reprographie de livres et de périodiques protégés contenues dans cet ouvrage sont effec-
tuées par le CNED avec l’autorisation du Centre français d’exploitation du droit de copie (20, rue des Grands-Augustins, 75006 Paris).
CNED, BP 60200, 86980 Futuroscope Chasseneuil Cedex, France
© CNED 2022 87631FSWB1122