Chers clients, nous sommes ravis de vous annoncer le lancement de notre nouveau site de formation : OORIKAS.fr. Ce nouveau site offre une expérience utilisateur améliorée, des fonctionnalités innovantes, et un accès facilité à nos formations. Nous vous invitons à le visiter et à découvrir nos nouvelles offres de formation. Vous pouvez toujours accéder à vos formations de ce site actuel via votre espace personnel.

    A Le règlement sur la protection général des données : les questions à se poser

    A Le règlement sur la protection général des données : les questions à se poser

    29/12/2017 EXPORT MEGA 836 Aucun commentaire

    Qu’est ce que le RGPD ?

    RGPD, ou Règlement Général sur la Protection des Données, est le nouveau texte de référence Européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne.
    Ce règlement remplacera l’actuelle Directive sur la protection des données personnelles et apporte de nombreux changements clés que vous devez connaître. Il étend le champ d’application de la loi sur la protection des données à l’ensemble des entreprises, y compris aux sociétés non-Européennes si ces dernières ciblent des résidents de l’UE.

    Le RGPD pour les entreprises B2B et B2C

    Le RGPD s’applique aux deux types d’échanges sans distinction : l’adresse email professionnelle d’un individu est désormais considérée comme une donnée personnelle.

    A qui le RGPD s’applique-t-il ?

    A toutes les sociétés ou entités, quelque soit leur pays d’origine, collectant ou traitant les données de citoyens Européens. Cela concerne donc également les tierces parties comme les sociétés d’hébergement de données en ligne (cloud providers).

    Où le RGPD s’applique-t-il ?

    Dans les 28 pays membres de l’Union Européenne bien sûr, mais il s’étend aussi à toute entité non-Européenne dès lors qu’elles collectent et/ou traitent les données de résidents de l’UE.

    Le Brexit a-t-il un impact sur cette réglementation pour les citoyens britanniques ?

    Non. Le RGPD est entré en vigueur avant que le Royaume-Uni ne quitte officiellement l’Union Européenne (le 29 mars 2019). Pour continuer leurs échanges avec l’Union Européenne, il leur faudra mettre en place un règlement équivalent de garanties en matière de protection des données.

    Quelle sanction en cas de non-respect des dispositions du RGPD ?

    Le GDPR prévoit des amendes de plusieurs paliers : en cas de mauvaise tenue des enregistrements (Article 28), défaut de notification de l’autorité de surveillance et de la personne concernée à propos d’une violation (Articles 31 et 32) ou absence d’évaluations d’impact (Article 33), l’amende peut monter jusqu’à 2% du chiffre d’affaire. L’amende maximale pour les entreprises qui ne respectent pas le RGPD peut monter jusqu’à 4% du chiffre d’affaires ou jusqu’à 20 millions d’euros (la somme la plus importante).

    Etape 1 – Informer et éduquer l’équipe de direction

    Assurez-vous que tous les membres de la direction connaissent et comprennent les enjeux du RGPD et de l’impact qu’il aura sur l’ensemble de votre organisation, afin qu’ils adhèrent aux changements nécessaires.

    Etape 2 – Vérifier l’état des données et de la documentation

    • Quelles sont les données personnelles que vous détenez à l’heure actuelle ?
    • D’où proviennent-elles et qui vous les a confiées ?
    • Quelles sont vos faiblesses et qu’est-ce qui pourrait vous causer des ennuis ?
    • Où sont actuellement stockées vos données ? Gardez une trace de cette information.

    Etape 3 – Revoir ses clauses de confidentialité

    • Quelles mises à jour sont nécessaires ?
    • Intégrer le principe de respect de la vie privée par défaut dans chaque projet, dès leur conception – ne demandez pas plus de données personnelles que vous n’en avez réellement besoin, et ayez recours à l’anonymisation, la pseudonymisation et l’encryption.

    Etape 4 – S’assurer que les droits des utilisateurs sont respectés

    Vérifiez vos procédures actuelles en ce qui concerne les données personnelles de vos utilisateurs et assurez-vous que vous êtes bien en mesure de faire respecter leurs droits :

    • D’être informés de tout ce qui concerne leurs données et l’utilisation qui en est faite, d’objecter, de les supprimer, d’être oubliés, d’en obtenir une copie (gratuitement et en moins d’un mois).
    • A la portabilité des données, qui permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable.
    • D’interdire l’utilisation de leur données pour des traitements aboutissant à une prise de décision automatisée ou un profilage.

    Etape 5 – S’assurer que le consentement des utilisateurs est respecté

    Evaluez la manière dont vous cherchez, obtenez et archivez les différentes autorisations de vos utilisateurs :

    • Vos archives sont-elles précises, mises à jour et sécurisées ?
    • Demandez vous l’autorisation de vos utilisateurs de manière explicite et distincte selon l’usage que vous souhaitez faire de leurs données ?
    • Les enfants ne peuvent donner personnellement leur autorisation qu’à partir de l’âge de 16 ans, parfois 13. En dessous de cette limite, le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Êtes-vous concernés par ce cas spécifique ?

    Etape 6 – Mettre en place une procédure de management des risques

    Assurez-vous d’avoir mis en place les procédures nécessaires pour détecter, signaler et investiguer en cas de violation des données que vous traitez.

    Etape 7 – Implémenter une AIPD (Analyse d’Impact relative à la Protection des Données)

    Il s’agit de s’assurer que tout risque élevé pour les droits et libertés des personnes physiques lié au traitement de données, au sein de votre organisation, soit parfaitement identifié et traité.

    • Déterminez s’il vous faut nommer/engager un Délégué à la Protection des Données, qui sera chargé de l’application des règles en matière de protection des données au sein de votre organisation et notamment d’en informer directement les membres de l’équipe de direction.
    • Assurez-vous que tous les contrats qui vous lient à des entreprises tierces soient également mis à jour pour tout ce qui concerne le respect et la protection des données.

    Etape 8 – Nommer un Délégué à la Protection des Données.

    Vous pouvez soit directement l’engager, soit avoir recours à un consultant externe. Il/elle aura pour mission de s’assurer de la protection de l’ensemble des données de vos utilisateurs. Cette nomination est obligatoire si :

    • Votre organisation appartient au secteur public;
    • Le coeur de l’activité de votre entreprise implique le suivi régulier et systématique des données d’individus à grande échelle; ou
    • Le coeur de l’activité de votre entreprise implique la gestion à grande échelle de données personnelles sensibles ou relatives à des condamnations pénales et infractions.

    Si vous engagez un/e DPO, en tant qu’employeur, vous vous devez de :

    • Lui fournir les ressources nécessaires pour mener sa tâche à bien et conserver son niveau de connaissances;
    • Lui donner accès aux données personnelles et aux opérations de traitement;
    • Vous assurer qu’il/elle est impliquée dans tout ce qui concerne de près ou de loin la protection des données personnelles;
    • Faire en sorte qu’il/elle puisse être facilement contacté(e) par les autorités publiques et de contrôle.

    Etape 9 – Sous-traitants

    Que dois-je faire si j’ai recours à des entreprises tierces pour la gestion de mes données ?

    1. Faites la liste de toutes les solutions de type cloud que vous utilisez.
    2. Définissez clairement le cycle de vie de vos données, et assurez-vous que le niveau de sécurité déployé est adapté à chaque étape.
    3. Évaluez les risques que pourrait engendrer la perte ou le vol des données que vous détenez.
    4. Déterminez si il vous faut ou non nommer un Délégué à la Protection des Données.
    5. Vérifiez tous vos contrats pour comprendre où vos données et applications sont stockées et si elles sont traitées en dehors de l’Union Européenne.
    6. Incluez des clauses de confidentialité, de protection et des lieux où pourront être stockées les données dans vos contrats.
    7. Demandez à vos prestataires, en particulier ceux basés en dehors de l’UE, s’ils sont conformes au RGPD.
    8. Si vos prestataires ne pensent pas pouvoir être conformes au RGPD d’ici à mai 2018, commencez à évaluer leurs concurrents et planifiez le changement pour un prestataire respectueux du RGPD.

    Le RGPD me permet-il de travailler avec des solutions tierces en dehors de l’UE ?

    Oui, tant que ces entreprises adhèrent aux directives du RGPD en ce qui concerne le traitement et stockage des données. Les données personnelles ne peuvent être transférées en dehors de l’UE que vers des pays respectant les mêmes exigences en matière de protection des données, ou si vous pouvez garantir un niveau de protection équivalent à celui du RGPD.

    Que signifie Binding Corporate Rules (BCRs)?

    Les BCR ou règles internes d’entreprise constituent un code de conduite équivalent au RGPD permettant d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même entreprise ou d’un même groupe. Une sorte d’étalon-or de protection des données.

    Quelles questions dois-je poser à mes prestataires en ce qui concerne le RGPD ?

    1. Où sont stockées vos données et applications ?
    2. Ces données ont-elle déjà été déplacées en dehors de l’Espace Economique Européen ?
    3. Vos données ont-elle déjà été transférées vers un centre de données situé en dehors de l’Union Européenne ?
    4. M’informez-vous systématiquement de tout transfert de données ?
    5. Avez-vous un Délégué à la Protection des Données ?
    6. Quelles procédures de management des risques et de contrôle des données avez-vous déjà mis en place ?
    7. Est-ce-que votre gestion des révisions assure un niveau de sécurité suffisant des données ?
    8. Qui peut avoir accès à mes données, sous quelles circonstances, et que peuvent-ils voir? Cet accès est-il pisté?
    9. Puis-je contrôler vos mesures techniques et de sécurité sur la protection des données ?
    10. Avez-vous déjà adhéré aux Binding Corporate Rules ?
    11. Vos mesures de protection seront-telles compliantes à temps quand le RGPD prendra effet ?

    Etape 10 – Informer et éduquer vos employés

    Vous vous devez d’informer et éduquer l’ensemble de vos employés sur la manière dont doivent légalement être collectées et traitées les données de vos clients

    Related Projects It`s Can Be Useful
    Une mise à jour est en cours, cela peut entrainer des ralentissements lors de votre consultation de notre plateforme, nous vous prions de nous excuser, un retour à la normale est prévu demain.