Conformité RGPD

trois-point-quatorze-rgpd

cOnformité RGPD

Qu’est-ce que c’est ?

Le Règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et son application est uniforme pour l’ensemble des Etats membres de l’Union européenne.

Il est d’application directe et prévaut sur la législation nationale en cas de contradiction, notamment la loi 78-17 du 6 janvier 1978 modifiée.

Il confirme les principes issus de la Directive n°95/46 du 24 octobre 1995, ci-dessous :

  • Licéité, loyauté et transparence de tout traitement
  • Détermination de la finalité du traitement, laquelle doit être légitime, adéquate et pertinente
  • Limitation de la durée de conservation
  • Sécurisation des données

    En substance, ses grands principes sont les suivants : 

    • Il s’appuie sur une articulation de moyens juridiques et technologiques, en vue de la prévention du risque : logique de responsabilité (accountability) versus logique de formalités préalables
    • Est retenue une approche « Privacy by design » supposant que le respect de la vie privée est désormais au cœur de tout développement technique, les données personnelles devant être sécurisées et restées confidentielles.

    La rgpd et vous

    Qui est concerné ?

    Toute entreprise collectant des données permettant d’identifier une personne (mail, image, date de naissance, adresse IP, nom, prénom, etc.), y compris dans son activité professionnelle, doit se mettre en conformité avec cette nouvelle réglementation.

    • Aucune formalité préalable de déclaration des traitements de données personnelles auprès de la CNIL (sauf cas particulier : traitement engendrant un risque élevé pour les droits des personnes physiques)
    • L’obligation de réduire les données collectées à celles qui sont strictement nécessaires pour l’activité de l’entreprise (Privacy by Default)
    • Le renforcement des droits des personnes dont les données personnelles sont collectées avec l’exigence quasi systématique d’une forme de consentement exprès à toute collecte (portabilité et droit à l’effacement)
    • La mise en place d’un Data Protection Officer dans certains cas
    • L’obligation de réaliser des études d’impacts dans certains cas
    • La vérification des engagements de vos sous-traitants dont la responsabilité est renforcée et l’obligation de conseil reconnue
    • L’obligation de notifier toute faille de sécurité sous 72H aux autorités de régulation, la notification devant indiquer la nature de la violation, ses conséquences et les mesures prises pour protéger les données

    Concrètement

    Ce que cela signifie

    Un impact financier

    Des sanctions plus lourdes

    Les contrôles des autorités seront renforcés et les sanctions encourues seront beaucoup plus lourdes que par le passé : 10 à 20 millions d’Euros ou 2 à 4 % du C.A. annuel mondial total de l’exercice précédent.

    La CNIL recommande 6 étapes pour se mettre en conformité, étapes sur lesquelles nous sommes à même de vous assister :

    • Désigner un pilote
    • Réaliser une cartographie des traitements de données personnelles
    • Prioriser les actions à mener : Définir le plan d’actions au regard des risques identifiés
    • Gérer les risques :
      – Définition de processus internes
      – Révision des clauses des contrats avec les sous-traitants
      – Organisation d’études d’impacts
    • Organiser les processus internes
      – Suivi et évolution d’un traitement
      – Changement de sous-traitants
      – Faille de sécurité
    • Documenter la conformité et l’améliorer
      – Rédaction ou révision des documents de conformité et suivi (registre, charte informatique, etc)
      – Mise en place des outils de suivi (audits, études d’impacts)
      – Sensibilisation des équipes et formation du DPO

    Un projet en soi

    Les étapes clés selon la CNIL

    Notre assistance

    En quoi consiste notre assistance ?

    Concrètement, nous sommes à votre disposition pour vous assister dans toutes les étapes identifiées par la CNIL et pour vous mettre en relation avec des techniciens informatiques à même de tester la robustesse de vos systèmes d’information et moyens de sécurité. N’hésitez pas à nous contacter afin de nous rencontrer pour établir un devis adapté à la taille de votre entreprise et à votre activité.