RGPD Le Reglement General de la Protection des Donnees

Depuis plusieurs semaines, vous entendez RGPD partout, mais que savez-vous réellement du RGPD ? Qu’est-ce que cela signifie ? Mon entreprise est-elle concernée ? Où puis-je trouver des informations simples et compréhensibles ? Comment me mettre en conformité ?

 

8 français sur 10 se déclarent inquiets quant à la protection de leurs données personnelles (Source : Etude Wavestone, 2016).

 

le RGPD et Posteam entreprise de travail à temps partagé à Melle 79

Mais qu’est-ce qu’une donnée personnelle ? Toute information se rapportant à une personne physique identifiée ou identifiable. Les coordonnées postales, téléphoniques ou mail en font partie. Mais les données digitales telles que : adresse IP, identifiant, mot de passe, coordonnées GPS ou habitudes de navigation en ligne également.

 

Aujourd’hui, ces informations sont automatiquement collectées ou transmises lors d’actions usuelles quotidiennes, qu’elles soient personnelles ou professionnelles.

Qu'est que c'est que le RGPD ?

Le Réglement Général de la Protection des Données désigne LA directive européenne concernant les données personnelles. Publiée en 2016, elle entrera en application dans les états membres de l’Union Européenne le 25 mai 2018.

 

La toute première démarche de protection des données personnelles est apparue en 1978 avec la loi Informatique et Libertés.

Ont ensuite suivi un certain nombre de décisions, directives et lois, avant l’apparition du Règlement Général de la Protection des Données, adopté en 2016, et qui sera mis en application en mai prochain.

 

Qu’apporte ce règlement par rapport à la Loi Informatique et Libertés ?

Son objectif est de redonner aux citoyens de l’UE le contrôle de leurs données personnelles, c'est-à-dire qu’ils seront en droit de demander à une entreprise de leur fournir tous les détails de toutes les informations détenues à leur sujet et de l’utilisation qui en est faite.

 

Le RGPD impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement.

 

Par exemple, pour le droit à l’oubli, vous devrez supprimer de vos systèmes toutes les données d’un client si celui-ci le demande. Pour votre entreprise il faut savoir où les données que vous récoltez résident et effectuer un suivi précis des flux des données.

Comment mettre votre entreprise en conformité avec le RGPD

La CNIL propose une démarche en 6 étapes.

1. Désigner un pilote, délégué de la protection des données

Il est essentiel et même obligatoire pour certaines entreprises de désigner un DPD, Délégué de la Protection des Données. Ce délégué exercera une mission d’information, de conseil et de contrôle en interne. Très polyvalent, il doit avoir des connaissances en informatique, en cybersécurité mais également posséder une grande culture juridique.

2. Cartographier vos traitements de données personnelles

Vous devez tenir une documentation interne complète sur le traitement des données personnelles, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent  comme les matériels (ex : serveurs, ordinateurs portables, disques durs), les logiciels (ex : système d’exploitation, logiciel métier), les supports papier (ex : document imprimé, photocopie).

Vous devez vous assurer que ces traitements respectent bien les nouvelles obligations légales. Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément : les différents traitements de données personnelles, les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitement de données, les acteurs (internes ou externes) qui traitent ces données. vous devrez notamment clairement identifier les prestataires sous-traitants les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

3. Prioriser les actions pour vous conformer aux obligations légales

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations légales. Cela impose que :

  • Vous vous assuriez que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
  • Vous identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale).
  • Vous révisiez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement.
  • Vous vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités,
  • Vous vous assuriez de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Vous prévoyiez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement...).

Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées.

4. Gérer les risques en vous appuyant sur des processus

Le Management des Risques s’appuie sur des processus :

 

  • D’identification des menaces et des Opportunités.
  • D’évaluation de la probabilité de survenance du risque et de son impact en termes de coûts sur l’entreprise.
  • De pilotage de plans d’action pour «limiter» les menaces et «déployer» les opportunités.

Vous devez mener pour chacun de ces traitements, une étude d’impact sur la protection des données :

"La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données " (article 34 de la loi Informatique et Libertés).

Le règlement européen précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

 

La nouvelle réglementation implique que vous soyez capable de :

Localiser toutes les données traitées par votre entreprise et documenter le traitement qui en est fait,


Identifier et sécuriser toutes les étapes de collecte et traitement des données personnelles,

 

Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois événements redoutés suivants :

  • accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
  • modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
  • disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).

 

Identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque événement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).

 

Identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque événement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :

  • utilisés de manière inadaptée (ex : abus de droits) ;
  • modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
  • perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
  • observés (ex : observation d’un écran dans un train, géolocalisation d'un matériel) ;
  • détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
  • surchargés (ex : unité de stockage pleine, attaque par dénis de service).

Déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).

 

Estimer la gravité et la vraisemblance des risques au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).

 

Garantir le droit des personnes, ce qui implique de revoir vos CGV, contrats…

 

Obtenir le consentement explicite des personnes pour chaque personne pour chaque traitement de données (employés, clients, prospects, candidats…)

 

Répondre rapidement à toute demande de correction, export ou suppression des données personnelles,

 

Limiter la collecte et le cumul des données dans le temps à ce qui est strictement nécessaire,

 

Informer vos collaborateurs afin de vous assurer que leurs pratiques sont conformes,

 

Surveiller et notifier l’autorité en cas d’incident.

5. Organiser les processus internes

Organiser les processus internes implique de :

  • prendre en compte la protection des données personnelles dès la conception d’une application,
  • sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs,
  • traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits en définissant les acteurs et les modalités,
  • anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

6. Documenter la conformité

Afin de prouver votre conformité, vous devez constituer un dossier documentaire permettant de démontrer que le traitement de données personnelles est conforme au règlement.

Votre dossier devra notamment comporter les éléments suivants

  • le registre des traitements ou des catégories d’activités de traitements,
  • les analyses d’impact sur la protection des données pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes,
  • les mentions d’information,
  • les modèles de recueil du consentement des personnes concernées,
  • les procédures mises en place pour l’exercice des droits des personnes.
  • les contrats avec les sous-traitants,
  • les procédures internes en cas de violations de données,
  • les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Votre entreprise est-elle concernée par le RGPD ?

OUI

Le RGPD crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne.

Toutes les entreprises sont donc concernées mais à des degrés divers.

Le principe du RGPD est le même pour tous, les contraintes sont plus « légères » pour les TPE/Petite PME.

Elles sont dispensées d’un certain nombre d’obligation comme la désignation du Délégué de la Protection des Données, la consignation de leurs activités de traitement ou l’analyse d’impact et le signalement systématique de toutes les violations de données aux personnes physiques.

 

Le 25 mai 2018 approche à grand pas, d’après une étude menée par Dell en octobre 2016, seules 3% des 700 PME interrogées disaient avoir un plan pour tenir l’échéance…

Les principaux freins des TPE/PME relèvent de l’ignorance, du manque de temps et de moyen pour analyser, planifier et mettre en place les modifications nécessaires.

Posteam

Écrire commentaire

Commentaires: 0

Des compétences en plus, du temps pour vous

7 rue Croix Paillère

79500 MELLE

Partagez

Suivez nous

Toutes nos actualités

le blog de Posteam,  des compétences pour tous en micro-temps