Des questions sur le RGPD ? Voici quelques réponses aux sujets les plus fréquents

La nomination d’un DPO est obligatoire dans certains cas définis par le RGPD. Elle concerne notamment :

• Les autorités et organismes publics (sauf les tribunaux dans l’exercice de leur mission judiciaire) ;

• Les organisations dont les activités principales consistent en des traitements qui, de par leur nature, leur portée ou leurs finalités, nécessitent un suivi régulier et systématique des personnes à grande échelle ;

• Les organismes dont les activités principales consistent en un traitement à grande échelle de catégories particulières de données (données sensibles) ou de données relatives à des condamnations pénales et infractions.

Si votre structure ne rentre pas dans ces catégories, la nomination d’un DPO reste facultative mais peut s’avérer recommandée pour accompagner la conformité au RGPD.

Dans tous les cas, le DPO doit disposer des compétences nécessaires, être indépendant dans ses missions et être facilement accessible aux personnes concernées ainsi qu’à l’autorité de contrôle (la CNIL en France).

Pour déterminer précisément votre obligation et la meilleure organisation à mettre en place, n'hésitez pas à me contacter via l’onglet Contact.

Mettre en place des documents de conformité (registre des traitements, politique de confidentialité, mentions légales, etc.) est une étape essentielle… mais ce n’est jamais un exercice « à faire une fois pour toutes ».

Le RGPD impose une mise à jour régulière de la documentation, pour tenir compte de l’évolution des traitements, des outils utilisés, des sous-traitants, ou encore de l’organisation interne. La conformité est un processus continu, pas un état figé.

Par ailleurs, certains documents doivent être réévalués périodiquement (analyses d’impact, durées de conservation, politique de sécurité, etc.), notamment en cas de lancement de nouveaux services ou de changements significatifs dans l’entreprise.

Mettre en place une base solide est indispensable, mais elle doit être suivie, maintenue et adaptée dans le temps. Pour construire une approche pérenne et proportionnée à votre activité, n'hésitez pas à me contacter via l’onglet Contact.

Pas nécessairement. Même si tous vos sous-traitants (hébergeurs, prestataires, éditeurs de logiciels, etc.) respectent le RGPD, cela ne suffit pas à garantir la conformité de votre entreprise.

En tant que responsable de traitement, vous restez juridiquement responsable de l’ensemble des traitements de données que vous mettez en œuvre. Vous devez donc :

• Sélectionner des sous-traitants conformes, mais aussi

• Encadrer chaque relation par un contrat (souvent appelé DPA ou « accord de traitement »),

• Documenter vos traitements (registre, mentions, consentements, etc.),

• Informer les personnes concernées,

• Et assurer la sécurité et la licéité des traitements que vous pilotez.

La conformité de vos partenaires est un prérequis, mais elle ne remplace pas vos propres obligations en tant qu’entreprise.

📺 Pour en savoir plus, découverez ma vidéo dédiée sur YouTube. 
👉 Et si vous souhaitez un accompagnement personnalisé, n'hésitez pas à me contacter via l’onglet Contact.

Actuellement, le RGPD impose à tous les responsables de traitement et sous-traitants de tenir un registre des activités de traitement, sauf pour les entreprises de moins de 250 employés qui ne réalisent pas de traitements à risque, réguliers ou portant sur des catégories particulières de données.

La Commission européenne discute actuellement d’une proposition visant à exempter à partir de 2026 certaines entreprises de taille moyenne (jusqu’à 500, voire 700 salariés) de cette obligation, sauf si elles traitent des données sensibles ou présentent un risque élevé pour les droits et libertés des personnes.

Cette proposition est encore en discussion et n’est pas encore entrée en vigueur.

En attendant, il est recommandé de continuer à tenir un registre complet des traitements. 

Pour évaluer précisément vos obligations et construire un registre adapté à votre organisation, n'hésitez pas à me contacter via l’onglet Contact.

Oui, il est possible d’utiliser une adresse email générique comme point de contact RGPD.

Cependant, pour garantir une gestion efficace et conforme des demandes relatives à la protection des données (droit d’accès, de rectification, opposition, etc.), il est recommandé que cette adresse soit clairement identifiée et dédiée à cet usage.

L’adresse doit être facilement accessible depuis la politique de confidentialité et les informations fournies aux personnes concernées. Elle doit permettre de traiter rapidement les demandes et d’assurer la traçabilité des échanges.

Si une adresse générique est utilisée, assurez-vous que l’équipe en charge de la conformité RGPD y ait un accès exclusif afin d’éviter les pertes d’informations ou délais de réponse.

Pour une gestion optimale, certaines organisations préfèrent créer une adresse spécifique type rgpd@monentreprise.fr afin de marquer clairement la finalité du contact.

Le Data Processing Agreement (DPA), ou contrat de sous-traitance, est un document contractuel essentiel qui formalise les obligations du sous-traitant en matière de protection des données personnelles.

Même s’il peut sembler « technique » ou de faible portée juridique au premier abord, le DPA engage juridiquement les parties et détermine notamment les responsabilités, les mesures de sécurité, ainsi que les modalités de gestion des données.

Signer un DPA sans consultation préalable du DPO peut donc entraîner des risques, notamment si les clauses ne couvrent pas correctement les exigences du RGPD ou ne correspondent pas à la réalité opérationnelle.

Le rôle du DPO est précisément d’analyser ces documents pour garantir que vos engagements contractuels respectent bien la réglementation et protègent vos intérêts.

En résumé, il est fortement recommandé de faire valider tout DPA par le DPO avant signature, afin d’éviter des failles juridiques ou opérationnelles.

Pour toute question ou accompagnement sur la rédaction et la revue des DPA, n'hésitez pas à me contacter via l’onglet Contact.

Le RGPD exige que le Délégué à la protection des données (DPO) puisse exercer ses missions en toute indépendance et sans conflit d’intérêts. Or, si le fondateur ou dirigeant de l’entreprise est également responsable de la mise en place et de la gestion des traitements de données, cela peut poser un risque de conflit d’intérêts.

En pratique, cela signifie que la même personne ne devrait pas être juge et partie - à la fois en charge de définir la finalité des traitements (responsable du traitement) et de contrôler leur conformité (DPO).

Il est donc recommandé, dès que possible, de s’assurer que le DPO puisse agir avec autonomie et sans être soumis à des pressions ou conflits liés à d’autres fonctions opérationnelles.

En cas de doute ou de structure spécifique, il est conseillé de se faire accompagner pour définir une organisation conforme et efficace.

Pour en discuter plus en détail, n'hésitez pas à me contacter via l’onglet Contact.

Le consentement n’est pas nécessaire pour le démarchage en B2B. Toutefois, le RGPD s’applique dès lors que vous traitez des données personnelles, et plusieurs obligations doivent être respectées :

• Le message commercial doit concerner l’activité professionnelle de la personne contactée (par exemple, ne pas offrir des services de nutrition ou de coaching bien-être à des professionnels de la finance).

• Informer clairement les personnes concernées sur l’identité du responsable du traitement, la finalité du démarchage, la source des données, et leurs droits (notamment le droit d’opposition).

• Mettre à disposition une politique de confidentialité accessible et complète.

• Respecter le droit d’opposition, qui doit pouvoir être exercé simplement.

• Documenter la base légale du traitement, généralement fondée sur l’intérêt légitime.

Pour définir une stratégie de prospection conforme et adaptée à votre activité, n'hésitez pas à me contacter via l’onglet Contact.

La création d’un compte client ne suffit pas pour envoyer des messages commerciaux (délibération de la CNIL SAN-2021-008 du 14 juin 2021). 

En effet, selon la CNIL : 

«  la création d’un compte ne préjuge pas de la commande éventuelle de produits auprès de la société » et ne permet donc pas de fonder la prospection sur l’intérêt légitime sans consentement. 

Seules les personnes ayant déjà effectué un achat peuvent être sollicitées sans consentement explicite, dans le cadre de l’intérêt légitime, à condition que la prospection porte sur des produits ou services similaires et qu’un moyen simple de refus soit proposé.

Jeux concours et invitations commerciales

Envoyer une invitation à un jeu concours à une personne non cliente et non inscrite à la newsletter constitue une prospection commerciale. Cette démarche nécessite donc un recueil préalable de consentement explicite, même si l’internaute a interagi avec votre site.

La définition d’une stratégie marketing conforme soulève souvent les questions suivantes :

• Comment gérer la collecte de consentement pour les offres personnalisées basées sur le comportement d’achat ou de navigation ?

• Si une personne s’est désabonnée de votre newsletter, est-il possible de lui adresser des messages l’incitant à valider son panier ou l’informant que son panier sera vidé au bout d’un certain délai ?

• Quels critères permettent de distinguer un message « transactionnel » d’un message relevant de la prospection commerciale ?

• Est-il possible d’exploiter les données de navigation des visiteurs anonymes pour leur proposer des publicités ciblées ?

Ces questions sont au cœur d’une stratégie marketing conforme au RGPD et adaptée à la vente B2C.

Pour en discuter et définir ensemble la meilleure approche, n’hésitez pas à me contacter via l’onglet Contact.

Le RGPD impose que les personnes concernées soient clairement informées du traitement de leurs données personnelles. L’article 12 du règlement précise que l’information doit être délivrée de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

La CNIL insiste également sur le fait que l’information doit être « facilement accessible, rédigée en des termes clairs et compréhensibles, et fournie gratuitement ».

Dans le cadre d’un service de prestation de santé à domicile (PSAD), il est important d’aller au-delà du seul critère de simplicité technique.

L’expérience de My DPO Partner montre qu’une part significative de la patientèle est composée de personnes âgées ou peu à l’aise avec les outils numériques. Il est donc essentiel que le dispositif d’information mis en place soit réellement adapté aux capacités, aux usages et aux besoins de ces publics.

Ce qui peut paraître clair et simple d’un point de vue technique ne l’est pas forcément pour les personnes concernées. Proposer uniquement un espace client en ligne ne garantit pas, en soi, le respect des exigences du RGPD.

Pour résumer :
La digitalisation est une avancée intéressante, mais elle doit s’accompagner de moyens d’information alternatifs (par exemple : version papier, support téléphonique, accompagnement à l’utilisation) afin de garantir une information efficacement accessible à tous, conformément au RGPD et aux recommandations de la CNIL.

N'hésitez pas à me contacter via l’onglet Contact pour vous assurer que l'information des personnes que vous envisagez de mettre en place est conforme avec le RGPD.

Oui, c’est tout à fait possible, y compris dans le cadre de collaborations internationales avec plusieurs partenaires, à condition que certaines règles soient rigoureusement respectées.

Encadrement juridique des transferts internationaux
Tout transfert de données personnelles vers un pays hors de l’Espace économique européen doit être encadré conformément aux articles 44 à 50 du RGPD, en particulier via les clauses contractuelles types (CCT), une décision d’adéquation ou d’autres garanties appropriées prévues à l’article 46 du RGPD. Cela permet d’assurer un niveau de protection équivalent à celui exigé dans l’UE.

Données de santé et hébergement
Lorsqu’il s’agit de données de santé à caractère personnel, des exigences spécifiques s’ajoutent : en France, leur hébergement doit en principe être confié à un prestataire certifié Hébergeur de Données de Santé (HDS), et localisé dans l’EEE. Ce point peut soulever des enjeux techniques et juridiques dans le cadre de collaborations avec des entités situées hors UE.

💡 La question du rôle des promoteurs, des modalités d’accès aux données par les partenaires internationaux et des solutions techniques conformes (hébergement, pseudonymisation, transfert ou accès distant sécurisé, etc.) doit être analysée au cas par cas.

👉 Pour définir un cadre de transfert de données conforme au RGPD dans le contexte de votre projet de recherche, n'hésitez pas à me contacter via l’onglet Contact.

Il n’est pas possible d’utiliser directement des données réelles de patients fournies par un hôpital pour tester une solution, sauf si ces données sont irréversiblement anonymisées. Selon la CNIL, seules les données véritablement anonymes échappent au RGPD et peuvent être utilisées librement hors cadre de soin ou de recherche encadrée.

Or, un établissement hospitalier ne peut pas anonymiser ses données à des fins de tests commerciaux sans respecter des procédures très strictes, souvent réservées aux projets de recherche validés.

Pour cette raison, tester une solution avec des données réelles peut sembler difficile, mais plusieurs alternatives existent, notamment l’utilisation de données synthétiques ou la mise en place de partenariats encadrés dans un cadre légal adapté.

Pour en savoir plus et bénéficier d’un accompagnement personnalisé, n’hésitez pas à me contacter via l’onglet Contact.