Scribd
Importer
22 vues2 pages

RGPD 3

Le document présente des exemples concrets d'application du RGPD dans divers contextes d'entreprise, tels que le consentement pour les newsletters, la tenue d'un registre des activités de traitement, le droit d'accès des patients à leurs données médicales, le principe de 'Privacy by Design' dans les applications mobiles, et la gestion des violations de données. Chaque exemple illustre les obligations et bonnes pratiques à suivre pour garantir la conformité au RGPD. Ces situations démontrent que la conformité au RGPD nécessite une intégration dans les processus quotidiens des entreprises.

Transféré par

moutsitarovincy
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
22 vues2 pages

RGPD 3

Le document présente des exemples concrets d'application du RGPD dans divers contextes d'entreprise, tels que le consentement pour les newsletters, la tenue d'un registre des activités de traitement, le droit d'accès des patients à leurs données médicales, le principe de 'Privacy by Design' dans les applications mobiles, et la gestion des violations de données. Chaque exemple illustre les obligations et bonnes pratiques à suivre pour garantir la conformité au RGPD. Ces situations démontrent que la conformité au RGPD nécessite une intégration dans les processus quotidiens des entreprises.

Transféré par

moutsitarovincy
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Parfait, pour bien saisir l'application du RGPD, voici quelques exemples concrets illustrant les

concepts clés dans des situations du quotidien pour une entreprise.

Exemple 1 : Le site e-commerce et le consentement


Situation : Une boutique en ligne souhaite collecter des adresses e-mail pour envoyer une
newsletter à ses clients et prospects.
Application du RGPD :
●​ Avant le RGPD : Souvent, une case pré-cochée pour l'inscription à la newsletter était
présente sur le formulaire d'achat.
●​ Avec le RGPD : Cela est illégal. Le consentement doit être libre, spécifique et
univoque.
○​ Action correcte : La case d'inscription à la newsletter doit être décochée par
défaut. L'utilisateur doit la cocher lui-même pour manifester son consentement.
○​ Transparence : Le site doit clairement indiquer ce pour quoi l'adresse e-mail sera
utilisée ("En cochant cette case, vous acceptez de recevoir notre newsletter sur nos
dernières nouveautés et promotions").
○​ Facilité de retrait : Chaque newsletter envoyée doit obligatoirement contenir un
lien de désinscription facile d'accès et fonctionnel.

Exemple 2 : L'entreprise et le registre des activités de traitement


Situation : Une PME du secteur des services gère les données de ses employés, de ses clients
et de ses fournisseurs.
Application du RGPD :
●​ Obligation : Tenir un registre des activités de traitement (RAT) est une obligation pour la
plupart des entreprises.
●​ Contenu du RAT : Le responsable du traitement (la PME) doit documenter chaque
activité de traitement de données. Par exemple :
○​ Activité 1 : "Gestion des fiches de paie des employés"
■​ Finalité : Payer les salaires, gérer les déclarations sociales.
■​ Catégories de données : Nom, prénom, adresse, numéro de sécurité sociale,
RIB, informations de contact d'urgence, etc.
■​ Catégories de personnes concernées : Les employés de l'entreprise.
■​ Destinataires : Le cabinet d'expertise comptable, l'URSSAF, l'administration
fiscale.
■​ Durée de conservation : Conforme aux obligations légales (ex : 5 ans pour
les bulletins de paie après le départ du salarié).
■​ Mesures de sécurité : Accès restreint aux données, cryptage des fichiers, etc.
Le RAT est la preuve de la responsabilité (accountability) de l'entreprise. En cas de contrôle,
la CNIL commencera par demander ce document.

Exemple 3 : L'hôpital et le droit d'accès


Situation : Un patient, Monsieur Dupont, a été hospitalisé. Après sa sortie, il souhaite obtenir la
liste des personnes qui ont consulté son dossier médical.
Application du RGPD :
●​ Droit d'accès : Monsieur Dupont a un droit d'accès à ses données personnelles.
●​ Action de l'hôpital : L'hôpital, en tant que responsable du traitement, doit donner suite à
cette demande.
○​ Il doit être en mesure de fournir à Monsieur Dupont un historique des consultations
de son dossier médical, en indiquant la date et l'identité du professionnel de santé
qui l'a consulté.
○​ Cela implique que les systèmes informatiques de l'hôpital doivent être conçus pour
tracer et enregistrer les accès aux dossiers des patients. Si ce n'est pas le cas,
l'hôpital ne serait pas en conformité avec le principe de traçabilité et de sécurité.

Exemple 4 : L'application mobile et le "Privacy by Design"


Situation : Une start-up développe une nouvelle application de géolocalisation pour trouver les
meilleurs restaurants à proximité.
Application du RGPD :
●​ Principe : La protection des données dès la conception ("Privacy by Design").
●​ Action de la start-up :
○​ Minimisation des données : L'application ne doit pas collecter la position de
l'utilisateur en continu si ce n'est pas strictement nécessaire. La localisation ne doit
être activée que lorsque l'utilisateur le demande.
○​ Transparence : Au premier lancement, une fenêtre pop-up doit clairement
expliquer pourquoi la géolocalisation est demandée et ce qu'il adviendra des
données.
○​ Choix de l'utilisateur : L'utilisateur doit avoir la possibilité de refuser la
géolocalisation et d'utiliser l'application en entrant manuellement sa localisation.
○​ Sécurité : Les données de localisation, si elles sont collectées, doivent être
pseudonymisées ou anonymisées dès que possible.

Exemple 5 : La fuite de données d'un site web


Situation : Le site d'une association a été piraté. Les données personnelles (nom, prénom,
adresse e-mail) des 500 membres ont été volées.
Application du RGPD :
●​ Violation de données : C'est un cas de violation de données personnelles car il y a eu
un accès non autorisé à des données.
●​ Notification à la CNIL : L'association a 72 heures maximum après avoir pris
connaissance de la violation pour la notifier à la CNIL via un formulaire en ligne. La
notification doit décrire la nature de la violation, ses conséquences probables et les
mesures prises ou envisagées pour y remédier.
●​ Information des personnes concernées : Étant donné que la violation peut présenter
un risque élevé (usurpation d'identité, spam), l'association doit également informer ses
500 membres sans délai et de manière claire. L'information doit expliquer ce qui s'est
passé, les données concernées, les risques encourus et les mesures que les membres
peuvent prendre pour se protéger (ex : changer de mot de passe).
Ces exemples montrent que le RGPD est une affaire de processus et de pratique, pas
seulement de théorie. La conformité s'intègre à chaque étape de la vie de l'entreprise.

Vous aimerez peut-être aussi