Vous êtes ici : > > *** Nouveau *** Conseil pour la mise en conformité RGPD

*** Nouveau *** Conseil pour la mise en conformité RGPD

Qu’est-ce que le RGPD ?


Applicable depuis le 25 mai 2018 à l’ensemble de l’Union Européenne, le Règlement européen sur la Protection des Données (RGPD) renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitants ces données, qu’ils soient ou non établis au sein de l’Union Européenne.

Le règlement impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.

Les modalités de conseil ci-après ont pour objectif d’accompagner le client, en tant que structure gréant des données à caractère personnelles, dans la mise en œuvre de ces nouvelles obligations.

Toute entité manipulant des données personnelles concernant des Européens doit donc se conformer au RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire européen. Un groupe américain, japonais ou chinois qui collecte et traite des données personnelles européennes doit également s’y conformer.

 

Quels sont ses objectifs ?

(Article premier du RGPD)

Le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

Le règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnel.

La libre circulation des données à caractère personnel au sein de l’Union n’est ni limité ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

A travers de 4 objectifs, il s’agira de :
1/ Rehausser le niveau technique et organisationnel des organismes pour donner une protection accrue de la vie privée des personnes ;
2/ Éliminer les incohérences dans les lois nationales ;
3/ Mettre à jour la loi pour mieux répondre aux défis de protection de la vie actuelle (réseaux sociaux, données massives, marketing comportemental) ;
4/ Réduire la charge des coûts administratifs pour les entreprises qui traitent de protection des données avec plusieurs autorités (cela concerne les entreprises travaillant à l’international)

 

L’objectif premier vise à établir un constat de l’existant, dans un cadre organisationnel et méthodologique qui aidera à aborder votre conformité au RGPD.

ZAINDU vous propose de faire apparaître :
–> Une compréhension de l’organisme de l’intérieur
–> L’analyse des systèmes de flux de données existant (qui accède à quoi ?)
–> Un investissement de la Direction quant au fait de déterminer les flux (ce qui peut paraître intrusif)
–> L’étude ou la rédaction d’une politique de la vie privée
–> La schématisation d’une structure organisationnelle
–> La classification des données
–> L’appréciation des risques
–> Si nécessaire (selon activité professionnelle) : l’analyse d’impact sur la protection des données (PIA)

 

L’objectif second est d’être conforme aux exigences du document officiel, applicable au 25 mai 2018. Il s’agit ici d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres de l’UE.

Le déploiement du RGPD comprendra différentes phases au sein de votre organisation :
–> Recueillir et prier le consentement des individus
–> Garantir aux personnes l’accès, la modification, la restitution et l’effacement de leurs données
–> Garantir la sécurité des données collectées, traitées et stockées par des mesures adaptées
–> Sécuriser les données contre les risques de perte, de divulgation ou de vol par des moyens adéquats
–> Documenter toutes les mesures et les procédures de protection
–> Garder en mémoire que des sanctions en cas de manquement à la mise en conformité existent

 

L’objectif troisième se situe dans le maintien de la conformité au travers d’une veille constante spécifique à votre activité.

L’organisme doit mener une évaluation de ses systèmes et de ses procédures afin d’assurer leur adaptabilité, leur adéquation et leur efficacité de manière continue.

Il s’agira de :
–> Déterminer les mesures à surveiller
–> Quoi surveiller
–> Quoi mesurer
–> Quand surveiller, mesurer, analyser et évaluer
–> Qui va surveiller, mesurer, analyser et évaluer
–> Adapter les processus de surveillance continus en fonctions des facteurs de changement (organisationnels / technologiques / externes de type législatif, contractuels avec les clients et fournisseurs)
–> Sensibiliser le personnel de la structure

 

L’objectif quatrième et ultime cible le repérage et la notification des violations de données

La structure se doit de :
–> Contacter la CNIL et de décrire la violation sous un délai de 72h
–> Contacter les personnes physiques concernées
–> Mettre en place des actions correctives en interne et auprès des sous-traitants
–> Communiquer en interne et en externe

ZAINDU peut vous aider !

Au travers d’interventions différentes selon le contexte initiale de votre organisation, ZAINDU peut vous aider à déployer les mesures relatives au Règlement.
Voici quelques exemples d’interventions, chaque contexte de structure étant spécifique.

** Prestation d’approche et de sensibilisation au RGPD
En amont : prise de connaissance du contexte de l’organisme
Présentation RGPD et débat sur le site de l’entreprise (durée 3h environ
Restitution et livraison de contenus : présentation écrite, texte RGPD, exemples de documentation

** Mise en place expresse du RGPD
Cartographie des données traitées
Audit des traitements de données
Rédaction et transmission des mesures et procédures
Sensibilisation du DPO désigné
Simulation de questions CNIL

** Déploiement complet de la conformité
Cartographie des données traitées
Audit des traitements de données
Audit technique du système d’information
Si obligatoire : création DPIA
Rédaction et mise en place des procédures
Création du registre général de données
Formation du personnel
Simulation d’audit CNILGestion des réclamations
Gestion des incidents

** Accompagnement du DPO nommé
Cartographie des données traitées
Audit des traitements
Mise en place des procédures
Si obligatoire : aide à la création DPIA
Formation du personnel
Simulation de questions CNIL

** Suivi du traitement des données pour maintenir et animer la conformité
Tableau de bord technique : contrôle des accès, du pare-feu, des chiffrements d’appareils portatifs, gestion des accès utilisateurs, gestion des mots de passé avec complexité suffisante et expirations régulières, protection anti-virus supervisée
Tableau de bord organisationnel : évaluation et formation régulière du personnel / des vendeurs / des fournisseurs, identification des violation et des risques, limitation des accès aux données à caractère personnel (principe du moindre privilège)
Gestion des incidents
Gestion des modalités de sécurité physique
Sensibilisation à la sécurité
Veille légale sur le secteur d’activité de l’organisme
Conseil informatique pour optimisation de la sécurité informatique de l’organisme
Push d’informations pertinentes et relatives au RGPD avec proposition(s) de mise en application concrète(s).

Contactez-nous pour en savoir plus

 

Dernières Actus

Toute l'actualité +

Pourquoi externaliser vos données ? Avant tout, pour stocker sans limitation de volume, sans crainte de perte de fichiers, le tout avec une équipe d’experts efficaces et disponibles.

Le Data-Center DATA³ augmente sa capacité de stockage en procédant à la mise en place d’un volume complémentaire de plus de 130 To, tout comme son voisin basque ADITU, doté de la même extension. Les entreprises basco-landaises ont rapidement vu […]

En savoir plus

Nouveau service DATA³ : Organisez votre mise en conformité RGPD

Le RGPD – Règlement Général pour la Protection des Données Personnelles – concerne toutes les organisations qui collectent des données personnelles dans un cadre professionnel sur des résidents de l’Union européenne, peu importe la localisation de l’organisation, son activité ou […]

En savoir plus

MailCleaner : le filtrage efficace des mails frauduleux

Dans le cadre du maintien d’un niveau élevé de sécurisation de la solution de messagerie Microsoft Exchange disponible en mode locatif * au sein de la plateforme DATA³, l’équipe ADITU a tout récemment implémenté la solution MailCleaner. Avec une interface […]

En savoir plus

Attribution de marché public

Dans le cadre de sa politique en termes d’aménagement du territoire et de développement économique, l’Agglomération du Grand Dax a souhaité tourner son territoire vers l’innovation. La première phase de ce projet consiste à créer sur le territoire les moyens […]

En savoir plus

L’écologie numérique : Quézako ?

L’écologie numérique consiste à prendre conscience du lien entre les technologies de l’information et de la communication avec l’écologie. Nous sommes tous conscients des ravages actuels de la pollution sur le climat, la planète est en souffrance, ce constat est […]

En savoir plus

L’équipe DATA³ déménage

C’est la rentrée pour tout le monde, y compris pour les membres de l’équipe DATA³. Nous avons fait nos cartons et nous avons pris de la hauteur…. Retrouvez-nous toujours au Centre d’Innovation Pulséo, 1 Avenue de la Gare à DAX, […]

En savoir plus