Le suivi de votre entreprise implique des changements parfois quotidiens dans son activité, sa gestion. Vous devez mettre en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Les formalités préalables (autorisations ou déclarations) auprès de la commission nationale de l'informatique et des libertés (CNIL) sont quasiment toutes supprimées (1).
Cependant, elles persistent pour :
- les fichiers de traitements comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR) ;
- les fichiers de traitements de données génétiques ou biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes, mis en œuvre pour le compte de l'État ;
- les fichiers de traitements qui intéressent la sûreté de l'État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
- les fichiers de traitements de données de santé justifiés par une finalité d'intérêt public (sécurité des médicaments, etc.).
Dès lors que vous constatez un changement quant aux éléments suivants, vous devez réaliser une demande d'avis auprès de la CNIL (2), notamment :
- l'identité et l'adresse de votre entreprise (changement de siège social de votre société, si votre adresse d'activité a été modifiée au sein du registre du commerce et des sociétés) ;
- la ou les finalités du traitement ; soit si vous décidez de changer l'usage que vous allez faire du fichier de traitement de données dont vous faites usage ;
- les interconnexions ou toutes autres formes de mise en relation avec d'autres traitements de données ; soit si vous décidez de fusionner des fichiers de traitement entre eux (exemple : une entreprise de téléphonie et de vente de téléphonie décide de coupler son fichier commercial de vente de téléphones avec celui de ses abonnés téléphoniques) ;
- les données à caractère personnel traitées : si vous décidez de modifier un élément d'information personnelle ;
- les catégories de personnes concernées par le traitement : si vous étendez ou concentrez le champ de recueil des données collectées sur une nouvelle cible (exemple : une entreprise de vente d'appareils auditifs décide de recueillir les informations personnelles et le ressenti de ses appareils pour les personnes de moins de 60 ans) ;
- la durée de conservation des informations traitées : si vous décidez d'allonger ou réduire la durée de conservation des données collectées ;
- le service chargé de mettre en œuvre le traitement ;
- le ou les destinataires des données (exemple : vous instaurez une nouvelle relation de sous-traitance concernant le fichier de traitement) ;
- le service auprès duquel s'exerce le droit d'accès (exemple : vous modifiez la façon de traiter les réclamations relatives aux données personnelles) ;
- les dispositions prises pour assurer la sécurité des traitements de données (exemple : si vous changez de prestataire de sécurité informatique et que le système de sécurité de vos données est modifié) ;
- le transfert de données hors de l'Union Européenne (exemple : s'il y a transfert d'un fichier client en Chine vers une filiale chinoise).
Cette demande de modification implique que vous utilisiez des informations mises à jour concernant le numéro de votre déclaration initiale et également des coordonnées précises du responsable de traitement (n° SIREN).
La CNIL dispose d'un service en ligne qui vous permet de faire la demande de modification de votre fichier de traitement de données personnelles.
Les services de la CNIL instruisent votre demande en vérifiant la nature des modifications et leur impact.
Ce que pensent nos clients :
Note moyenne sur 2 avis
Pierre P.
le 24/01/2020
Francis M.
le 28/01/2020