RGPD : QU'EST-CE QUE C'EST ?
Le Règlement général de la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et a pour objectif d’harmoniser la politique de protection des données sur l’ensemble du territoire Européen.
Le RGPD vise à responsabiliser toutes les entreprises qui collectent, traitent et utilisent des données personnelles en les soumettant à de nouvelles obligations.
LE RGPD PERMET À TOUS LES CITOYENS DE L’UE D’OBTENIR UNE MEILLEURE VISIBILITÉ SUR L’UTILISATION DES LEURS DONNÉES PERSONNELLES ET RENFORCE LEUR SÉCURITÉ
LES PRINCIPES CLÉ
- Déclaration obligatoire : les traitements de données personnelles doivent obligatoirement être déclarés à la CNIL. Ce point n’est pas nouveau mais toute négligence est désormais passible de sanctions graves.
- Sécurité par défaut : les entreprises et responsables de traitement se doivent de notifier aux autorités et personnes concernées les failles de sécurités susceptibles d’impacter les données personnelles.
- Responsabilisation : les entreprises sont tenues de mettre en place des mécanismes ainsi que des processes internes afin de prouver leur conformité au Règlement Général de la Protection des Données en cas de contrôle des autorités.
- Respect de la vie privée : la protection des données doit être prise en compte dès la conception du produit ou service. L’objectif de cette pratique est la minimisation des risques de violation des données par la mise en place de mesures adaptées sur chacune des étapes de la vie du produit.
QUI EST CONCERNÉ ?
En cas de contrôle de la CNIL, toute entreprise non conforme à ce nouveau règlement s’expose à des risques importants. Celle-ci indique par ailleurs qu’elle fera un exemple dès les premiers jours de la mise en vigueur du RGPD.
QUELS SONT LES RISQUES ?
RISQUE FINANCIER
RISQUE RÉPUTATIONNEL
BIEN SE PRÉPARER
Pour appréhender la mise en conformité de l’organisme au règlement sur la protection des données, il convient de bien se préparer. Pour cela, il convient de construire une stratégie solide s’appuyant sur six piliers majeurs :
DÉSIGNATION D'UN PILOTE
Une autorité est nommée pour prendre en charge le processus de mise en conformité de l’entreprise. Il prendra généralement la position de DPO, Data Protection Officer.
Ses actions principales englobent l’identification des chantiers de mise en conformité, leur coordination et la mobilisation des ressources nécessaires à leur exécution.
Il contrôle la bonne exécution du nouveau règlement de protection des données personnelles (RGPD).
Il est l’interlocuteur privilégié avec la CNIL.
CARTOGRAPHIE
L’ensemble des données et flux au sein de l’organisme sont identifiés, analysés et cartographiés.
Les traitements impliquant des données personnelles sont isolés, et triés par criticité/sensibilité et niveau de protection.
Cette étape de cartographie est exploitée dans la construction d’une stratégie de régularisation ainsi que pour la construction du registre des traitements, obligatoire pour les sociétés de plus de 250 salariés.
HIÉRARCHISATION
Une fois les données cartographiées, il devient nécessaire de prioriser les actions de régularisation à mettre en place.
- Ré-examination des contrats passés avec les sous-traitants
- Vérification de la charte informatique en place
- Identification des traitements à risque
- Audit des règles de sécurité en action
GESTION DU RISQUE
Il est essentiel de déterminer, dans un premier temps, les impacts sur la vie privée induits par les traitements puis, dans un second temps, les réponses adaptées à déployer. A cet effet, des études seront menées sur les flux de données de l’organisation.
AJUSTEMENT
Réorganisation des processus pour une protection des données personnelles maximale.
Un éveil est obligatoire auprès des équipes qui composent l’organisme afin de sensibiliser sur les bonnes pratiques pour la protection des données personnelles, par exemple à l’occasion de formations.
Application des principes clé du RGPD : responsabilité, sécurité par défaut, respect de la vie privée, etc.
DOCUMENTATION
Mise en place d’une assistance pour l’application du principe de responsabilisation à travers une documentation démontrant la conformité de l’organisme au RGPD, mis à jour régulièrement pour épouser les changements de processus.
BIEN SE PRÉPARER
- Le traitement des données personnelles est effectué par une autorité ou un organisme public
- Les activités de base de l’organisme consistent en des traitements exigeant un suivi régulier et systématique à grande échelle des personnes concernées (profilage, ciblage publicitaire, etc.)
- Lorsque l’activité implique le traitement à grande échelle de données sensibles ou relatives aux condamnations et infractions spéciales
Qu’il soit interne ou externe à la société, son rôle est d’informer et de conseiller les responsables de traitement (ou les sous-traitants) ainsi que les clients sur le traitement de leurs données personnelles.
Il se doit également de contrôler le respect de la réglementation sur les données personnelles. Il valide la conformité en chaque début de projet et sensibilise le chef de projet sur les problématiques du respect de la donnée personnelle. Le DPO est l’interlocuteur privilégié avec les autorités.
QU'EST-CE QU'UNE DONNÉE PERSONNELLE ?
Une donnée personnelle couvre toutes les informations directes et indirectes permettant d’identifier une personne.
Un nom, une date de naissance mais également adresse IP, login, identifiant carte SIM sont considérées comme données à protéger.
Une attention toute particulière doit être portée aux données discriminantes telles que couleur de peau, âge, sexe, religion, etc.
DOLCEVISTA VOUS ACCOMPAGNE
Conscient de l’impact majeur que représente la mise en conformité de votre entreprise au règlement RGPD, DolceVista prend les devants et déploie son expertise pour vous assister dans la définition d’une stratégie d’adaptation et un déploiement sans douleur sur chaque étape.
Les experts DolceVista ont sélectionné une suite d’outils adaptés au ciblage et à la protection des données personnelles. Au final, c’est toute votre entreprise qui bénéficie de processus plus fluide et d’une sécurité maximale. De quoi aborder le mois de mai 2018 en toute sérénité.
Informations clé
- Démarrage le 25 mai 2018
- Responsabilité de protection des données à la charge de l’entreprise
- Amende à hauteur de 4% CA applicable en France ou 20Millions
- Registre des traitements obligatoire pour les entreprises de plus de 250 salariés
- Nomination d’un Data Protection Officer (DPO) obligatoire et/ou recommandée
Guichet unique
Le RGPD Est Entré En Vigueur Le 25 Mai 2018, Êtes-Vous Prêts ?
Qui est concerné ?
Entreprises européennes
Entreprises traitant des données européennes
Sous-traitants
Organismes d'état
Associations
QU'EST CE QU'UNE DONNÉE PERSONNELLE ?
- Toute information directe ou indirecte permettant d’identifier une personne
- Nom, date de naissance, IP, login, identifiant carte SIM, sont autant de données à protéger
- Une attention particulière est portée aux données discriminantes (couleur de peau, religion, sexe, âge, etc.)