Vous êtes ici : > > Conseil pour la mise en conformité RGPD

Qu’est-ce que le RGPD ?

Applicable depuis le 25 mai 2018 à l’ensemble de l’Union Européenne, le Règlement européen sur la Protection des Données (RGPD) renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitants ces données, qu’ils soient ou non établis au sein de l’Union Européenne.

Le règlement impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.

Les modalités de conseil ci-après ont pour objectif d’accompagner le client, en tant que structure gréant des données à caractère personnelles, dans la mise en œuvre de ces nouvelles obligations.

Toute entité manipulant des données personnelles concernant des Européens doit donc se conformer au RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire européen. Un groupe américain, japonais ou chinois qui collecte et traite des données personnelles européennes doit également s’y conformer.

Quels sont ses objectifs ?

(Article premier du RGPD)

Le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

Le règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnel.

La libre circulation des données à caractère personnel au sein de l’Union n’est ni limité ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

A travers de 4 objectifs, il s’agira de :
1/ Rehausser le niveau technique et organisationnel des organismes pour donner une protection accrue de la vie privée des personnes ;
2/ Éliminer les incohérences dans les lois nationales ;
3/ Mettre à jour la loi pour mieux répondre aux défis de protection de la vie actuelle (réseaux sociaux, données massives, marketing comportemental) ;
4/ Réduire la charge des coûts administratifs pour les entreprises qui traitent de protection des données avec plusieurs autorités (cela concerne les entreprises travaillant à l’international)

  • – L’objectif premier vise à établir un constat de l’existant, dans un cadre organisationnel et méthodologique qui aidera à aborder votre conformité au RGPD.

ZAINDU vous propose de faire apparaître :
–> Une compréhension de l’organisme de l’intérieur
–> L’analyse des systèmes de flux de données existant (qui accède à quoi ?)
–> Un investissement de la Direction quant au fait de déterminer les flux (ce qui peut paraître intrusif)
–> L’étude ou la rédaction d’une politique de la vie privée
–> La schématisation d’une structure organisationnelle
–> La classification des données
–> L’appréciation des risques
–> Si nécessaire (selon activité professionnelle) : l’analyse d’impact sur la protection des données (PIA)

 

  • – L’objectif second est d’être conforme aux exigences du document officiel, applicable au 25 mai 2018. Il s’agit ici d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres de l’UE.

Le déploiement du RGPD comprendra différentes phases au sein de votre organisation :
–> Recueillir et prier le consentement des individus
–> Garantir aux personnes l’accès, la modification, la restitution et l’effacement de leurs données
–> Garantir la sécurité des données collectées, traitées et stockées par des mesures adaptées
–> Sécuriser les données contre les risques de perte, de divulgation ou de vol par des moyens adéquats
–> Documenter toutes les mesures et les procédures de protection
–> Garder en mémoire que des sanctions en cas de manquement à la mise en conformité existent

  • – L’objectif troisième se situe dans le maintien de la conformité au travers d’une veille constante spécifique à votre activité.

L’organisme doit mener une évaluation de ses systèmes et de ses procédures afin d’assurer leur adaptabilité, leur adéquation et leur efficacité de manière continue.

Il s’agira de :
–> Déterminer les mesures à surveiller
–> Quoi surveiller
–> Quoi mesurer
–> Quand surveiller, mesurer, analyser et évaluer
–> Qui va surveiller, mesurer, analyser et évaluer
–> Adapter les processus de surveillance continus en fonctions des facteurs de changement (organisationnels / technologiques / externes de type législatif, contractuels avec les clients et fournisseurs)
–> Sensibiliser le personnel de la structure

 

  • – L’objectif quatrième et ultime cible le repérage et la notification des violations de données

La structure se doit de :
–> Contacter la CNIL et de décrire la violation sous un délai de 72h
–> Contacter les personnes physiques concernées
–> Mettre en place des actions correctives en interne et auprès des sous-traitants
–> Communiquer en interne et en externe

ZAINDU peut vous aider !

Au travers d’interventions différentes selon le contexte initiale de votre organisation, ZAINDU peut vous aider à déployer les mesures relatives au Règlement.
Voici quelques exemples d’interventions, chaque contexte de structure étant spécifique.

** Prestation d’approche et de sensibilisation au RGPD
En amont : prise de connaissance du contexte de l’organisme
Présentation RGPD et débat sur le site de l’entreprise (durée 3h environ
Restitution et livraison de contenus : présentation écrite, texte RGPD, exemples de documentation

** Mise en place expresse du RGPD
Cartographie des données traitées
Audit des traitements de données
Rédaction et transmission des mesures et procédures
Sensibilisation du DPO désigné
Simulation de questions CNIL

** Déploiement complet de la conformité
Cartographie des données traitées
Audit des traitements de données
Audit technique du système d’information
Si obligatoire : création DPIA
Rédaction et mise en place des procédures
Création du registre général de données
Formation du personnel
Simulation d’audit CNIL
Gestion des réclamations
Gestion des incidents

** Accompagnement du DPO nommé
Cartographie des données traitées
Audit des traitements
Mise en place des procédures
Si obligatoire : aide à la création DPIA
Formation du personnel
Simulation de questions CNIL

** Suivi du traitement des données pour maintenir et animer la conformité
Tableau de bord technique : contrôle des accès, du pare-feu, des chiffrements d’appareils portatifs, gestion des accès utilisateurs, gestion des mots de passé avec complexité suffisante et expirations régulières, protection anti-virus supervisée
Tableau de bord organisationnel : évaluation et formation régulière du personnel / des vendeurs / des fournisseurs, identification des violation et des risques, limitation des accès aux données à caractère personnel (principe du moindre privilège)
Gestion des incidents
Gestion des modalités de sécurité physique
Sensibilisation à la sécurité
Veille légale sur le secteur d’activité de l’organisme
Conseil informatique pour optimisation de la sécurité informatique de l’organisme
Push d’informations pertinentes et relatives au RGPD avec proposition(s) de mise en application concrète(s).

Contactez-nous pour en savoir plus

Dernières Actus

Toute l'actualité +

Faille Windows Print Spoller : Patchez vos serveurs en urgence

Faille de sécurité Microsoft PrintNightmare – Concerne TOUTES les versions de Windows Server & Windows Client – Le 29 juin 2021, des chercheurs en cybersécurité ont dévoilés par erreur comment exploiter une faille de sécurité touchant le service Spooler de Microsoft Windows. Cette […]

En savoir plus

Le Grand Dax invite le Cluster Santé Régional ALLIS-NA

Rencontre avec ALLIS-NA, le nouveau Cluster Santé Le Cluster ALLIS-NA (Alliance Innovation Nouvelle Aquitaine) a présenté sa vocation, ses objectifs et ses axes de travail lors de sa venue le mercredi 26 mai au Centre d’Innovation Pulseo. La journée a […]

En savoir plus

375 millions d’euros dédiés à la sécurité informatique des hôpitaux français

Depuis les récentes attaques informatiques au sein des établissements de Villefranche-sur-Saône et Dax, une importante réflexion s’est engagée en France pour accroître la sécurité des systèmes informatiques des structures de santé. Bien qu’engagée déjà depuis 2019, et soulignée par la […]

En savoir plus

Cyberattaques, pertes de données hébergées : Où en sommes-nous en France ?

Les attaques sur les réseaux ne concernent largement plus seulement les structures mondiales implantées aux Etats-Unis, très loin de nos contingences personnelles et de nos activités professionnelles. Non, çà, c’était avant. Les dernières actualités nous le confirment : l’Hôpital de […]

En savoir plus

Les intérêts d’externaliser vos données.. mais en France surtout

Le lieu d’hébergement et de stockage des données représente un véritable enjeu stratégique pour les entreprises françaises tant en matière de gestion des risques que de conformité aux règlementations locales et européennes. Dans un contexte économique et géopolitique parfois instable, […]

En savoir plus

Aides financières : Connaissez-vous le chèque transformation numérique ?

En cette période morose, nous vous apportons une bonne nouvelle… Pas assez mise en lumière par les instances et peu identifiée par les entreprises, l’aide « Chèque transformation numérique » mise en place par l’Etat est un dispositif financier visant à vous […]

En savoir plus