RGPD

Vous avez dit « RGPD » ?

RGPD bandeau

Le Règlement Général de Protection des Données entre en vigueur le 25 mai 2018 et bien peu d’entreprises, collectivités ou associations peuvent affirmer qu’elles satisferont à leurs nouvelles obligations à cette date. Face aux enjeux et aux sanctions potentiellement très lourdes encourues, comment INFOCENTRE peut-il vous accompagner dans votre démarche de mise en conformité ?

Quatre-vingt-dix-neuf articles qui peuvent coûter très cher…

Co-signé le 27 avril 2016 par les présidents du Parlement et du Conseil européens, le « règlement UE 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données » entre donc en vigueur dans 5 mois. Le texte intégral de ses 173 attendus et 99 articles peut notamment être consulté sur le site de la CNIL, mais il peut être résumé en quelques principes plus compréhensibles :

  • Une donnée à caractère personnel (DCP) est une information se rapportant à une personne physique et permettant de l’identifier comme par exemple : nom, adresse, email, numéro de téléphone, plaque minéralogique, adresse IP, …
  • L’enregistrement des DCP ne peut se faire qu’avec le consentement explicite des personnes concernées. Leur consentement peut résulter d’un écrit, ou de la simple signature d’un contrat, comme dans le cas du contrat de travail par exemple. Elles doivent pouvoir exercer un droit de contrôle et de rectification de ces données, voire demander leur suppression si celles-ci ne sont pas nécessaires à l’exécution d’une obligation contractuelle ou légale.
  • Seules les DCP nécessaires à l’activité de l’entreprise doivent être conservées : si une agence de mannequins peut enregistrer leurs mensurations, celles-ci n’auront rien à faire dans le dossier RH d’une autre entreprise.
  • Le temps d’archivage de ces données doit être défini et limité à leur période d’utilisation : l’empreinte digitale d’un salarié utilisée pour accéder à l’entreprise devra être supprimée à son départ alors que ses bulletins de salaires devront être conservés à vie.
  • Une organisation est responsable des DCP qu’elle confie à un tiers pour leur traitement, comme par exemple celle de ses employés dont la paye est établie par un sous-traitant.
  • Les DCP doivent être protégées. Une politique de mots de passe doit permettre par exemple de limiter leur accès dans l’entreprise aux seules personnes en ayant l’utilité pour leur travail. Mais le réseau informatique doit également être protégé des intrusions externes et l’entreprise doit pouvoir en justifier.
  • Si, malgré ces précautions, un vol de données est constaté, il doit obligatoirement être déclaré à la CNIL dans les 72 heures et les personnes dont les données ont été volées doivent en être averties.
  • Un Délégué à la Protection des Données (DPD) doit être désigné dans tout organisme public et dans toute entreprise suivant régulièrement et à grande échelle des données dites « sensibles ». Ainsi par exemple toute mairie, tout collège ou lycée publics devront avoir leur DPD.

Les sanctions prévues en cas de non-respect des obligations du RGPD sont de 4% du chiffre d’affaires, limitées à 20.000.000 €. Au-delà de ces sanctions pécuniaires, la CNIL peut également rendre publique les sanctions et les faire publier à vos frais, vous obliger à cesser un traitement irrégulier et risquer ainsi d’interrompre votre activité, voire engager des poursuites pénales pouvant conduire jusqu’à 5 ans d’emprisonnement pour le responsable du traitement illicite.

 

Pour se mettre en conformité il faut :

  • Désigner un Délégué à la Protection des Données, même si votre organisation n’est pas dans l’obligation stricte de le faire. Il pilotera le projet de mise en conformité de votre organisation.
  • Cartographier vos traitements de DCP afin de déterminer qui les traite, quelles catégories de données sont concernées (y a-t-il notamment des données sensibles ? données biométriques, médicales, géolocalisation des véhicules, …), dans quel but elles le sont, où elles sont stockées, dans quelle limite de durée et avec quelles protections.
  • Déterminer un plan d’actions suite à cette cartographie pour mettre ces traitements en conformité avec le RGPD.
  • Analyser les risques pour les droits et libertés des personnes concernées par les DCP que vous traitez et définir les moyens de protection appropriés.
  • Organiser les processus de traitement internes pour s’assurer que la protection des données est prise en compte dès la conception d’un nouveau traitement, traiter les demandes des personnes concernées en vue d’exercer leurs droits sur leurs données, organiser l’information des autorités et des personnes en cas de vol de données.
  • Documenter votre conformité en constituant un dossier vous permettant de justifier de celle-ci.

 

INFOCENTRE peut vous accompagner dans cette démarche :

Il n’y a plus beaucoup de temps à perdre pour mettre votre organisation en conformité mais il n’est pas trop tard pour initier cette démarche. INFOCENTRE s’est associé avec des spécialistes du RGPD pour vous y aider en mettant en œuvre un processus d’accompagnement adapté à la dimension de ses clients tant par les moyens mis en œuvre que pour les budgets à y consacrer.

Après une phase d’audit organisationnel de votre entreprise ou collectivité, nous vous accompagnons dans l’audit des différents traitements identifiés, leur mise en conformité et la constitution de votre dossier de conformité. Si des failles de sécurité sont révélées au cours de cet audit, les consultants d’INFOCENTRE vous proposeront des solutions pour les pallier et améliorer ainsi la protection de votre organisation face aux risques de cyber-malveillance en constante augmentation.

Enfin, comme la conformité au RGPD n’est pas qu’un dossier ponctuel mais nécessite bien la mise en œuvre d’une politique et de processus de maintien de cette conformité tout au long de la vie de l’entreprise, différentes formules d’accompagnement pourront vous être proposées par nos partenaires pour assurer la continuité de votre conformité.

Pour en savoir plus

Nos Ingénieurs Commerciaux sont à votre disposition pour vous présenter plus en détail l’ensemble des offres d’INFOCENTRE, n’hésitez pas à les contacter.

N’hésitez pas également à suivre nos actualités sur notre site web www.groupe-esus.fr ou sur linkedin small.

Contact :

Demandez un rendez-vous personnalisé pour une étude adaptée aux besoins de votre organisation, en contactant votre interlocuteur habituel ou en vous adressant  à :

Christophe DRAPEAU – Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Ou via notre site web, rubrique contact.