Vous êtes ici : > > Conseil pour la mise en conformité RGPD

Qu’est-ce que le RGPD ?

Applicable depuis le 25 mai 2018 à l’ensemble de l’Union Européenne, le Règlement européen sur la Protection des Données (RGPD) renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitants ces données, qu’ils soient ou non établis au sein de l’Union Européenne.

Le règlement impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.

Les modalités de conseil ci-après ont pour objectif d’accompagner le client, en tant que structure gréant des données à caractère personnelles, dans la mise en œuvre de ces nouvelles obligations.

Toute entité manipulant des données personnelles concernant des Européens doit donc se conformer au RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire européen. Un groupe américain, japonais ou chinois qui collecte et traite des données personnelles européennes doit également s’y conformer.

Quels sont ses objectifs ?

(Article premier du RGPD)

Le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

Le règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnel.

La libre circulation des données à caractère personnel au sein de l’Union n’est ni limité ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

A travers de 4 objectifs, il s’agira de :
1/ Rehausser le niveau technique et organisationnel des organismes pour donner une protection accrue de la vie privée des personnes ;
2/ Éliminer les incohérences dans les lois nationales ;
3/ Mettre à jour la loi pour mieux répondre aux défis de protection de la vie actuelle (réseaux sociaux, données massives, marketing comportemental) ;
4/ Réduire la charge des coûts administratifs pour les entreprises qui traitent de protection des données avec plusieurs autorités (cela concerne les entreprises travaillant à l’international)

  • – L’objectif premier vise à établir un constat de l’existant, dans un cadre organisationnel et méthodologique qui aidera à aborder votre conformité au RGPD.

ZAINDU vous propose de faire apparaître :
–> Une compréhension de l’organisme de l’intérieur
–> L’analyse des systèmes de flux de données existant (qui accède à quoi ?)
–> Un investissement de la Direction quant au fait de déterminer les flux (ce qui peut paraître intrusif)
–> L’étude ou la rédaction d’une politique de la vie privée
–> La schématisation d’une structure organisationnelle
–> La classification des données
–> L’appréciation des risques
–> Si nécessaire (selon activité professionnelle) : l’analyse d’impact sur la protection des données (PIA)

 

  • – L’objectif second est d’être conforme aux exigences du document officiel, applicable au 25 mai 2018. Il s’agit ici d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres de l’UE.

Le déploiement du RGPD comprendra différentes phases au sein de votre organisation :
–> Recueillir et prier le consentement des individus
–> Garantir aux personnes l’accès, la modification, la restitution et l’effacement de leurs données
–> Garantir la sécurité des données collectées, traitées et stockées par des mesures adaptées
–> Sécuriser les données contre les risques de perte, de divulgation ou de vol par des moyens adéquats
–> Documenter toutes les mesures et les procédures de protection
–> Garder en mémoire que des sanctions en cas de manquement à la mise en conformité existent

  • – L’objectif troisième se situe dans le maintien de la conformité au travers d’une veille constante spécifique à votre activité.

L’organisme doit mener une évaluation de ses systèmes et de ses procédures afin d’assurer leur adaptabilité, leur adéquation et leur efficacité de manière continue.

Il s’agira de :
–> Déterminer les mesures à surveiller
–> Quoi surveiller
–> Quoi mesurer
–> Quand surveiller, mesurer, analyser et évaluer
–> Qui va surveiller, mesurer, analyser et évaluer
–> Adapter les processus de surveillance continus en fonctions des facteurs de changement (organisationnels / technologiques / externes de type législatif, contractuels avec les clients et fournisseurs)
–> Sensibiliser le personnel de la structure

 

  • – L’objectif quatrième et ultime cible le repérage et la notification des violations de données

La structure se doit de :
–> Contacter la CNIL et de décrire la violation sous un délai de 72h
–> Contacter les personnes physiques concernées
–> Mettre en place des actions correctives en interne et auprès des sous-traitants
–> Communiquer en interne et en externe

ZAINDU peut vous aider !

Au travers d’interventions différentes selon le contexte initiale de votre organisation, ZAINDU peut vous aider à déployer les mesures relatives au Règlement.
Voici quelques exemples d’interventions, chaque contexte de structure étant spécifique.

** Prestation d’approche et de sensibilisation au RGPD
En amont : prise de connaissance du contexte de l’organisme
Présentation RGPD et débat sur le site de l’entreprise (durée 3h environ
Restitution et livraison de contenus : présentation écrite, texte RGPD, exemples de documentation

** Mise en place expresse du RGPD
Cartographie des données traitées
Audit des traitements de données
Rédaction et transmission des mesures et procédures
Sensibilisation du DPO désigné
Simulation de questions CNIL

** Déploiement complet de la conformité
Cartographie des données traitées
Audit des traitements de données
Audit technique du système d’information
Si obligatoire : création DPIA
Rédaction et mise en place des procédures
Création du registre général de données
Formation du personnel
Simulation d’audit CNIL
Gestion des réclamations
Gestion des incidents

** Accompagnement du DPO nommé
Cartographie des données traitées
Audit des traitements
Mise en place des procédures
Si obligatoire : aide à la création DPIA
Formation du personnel
Simulation de questions CNIL

** Suivi du traitement des données pour maintenir et animer la conformité
Tableau de bord technique : contrôle des accès, du pare-feu, des chiffrements d’appareils portatifs, gestion des accès utilisateurs, gestion des mots de passé avec complexité suffisante et expirations régulières, protection anti-virus supervisée
Tableau de bord organisationnel : évaluation et formation régulière du personnel / des vendeurs / des fournisseurs, identification des violation et des risques, limitation des accès aux données à caractère personnel (principe du moindre privilège)
Gestion des incidents
Gestion des modalités de sécurité physique
Sensibilisation à la sécurité
Veille légale sur le secteur d’activité de l’organisme
Conseil informatique pour optimisation de la sécurité informatique de l’organisme
Push d’informations pertinentes et relatives au RGPD avec proposition(s) de mise en application concrète(s).

Contactez-nous pour en savoir plus

Dernières Actus

Toute l'actualité +

Cyberattaques, pertes de données hébergées : Où en sommes-nous en France ?

Les attaques sur les réseaux ne concernent largement plus seulement les structures mondiales implantées aux Etats-Unis, très loin de nos contingences personnelles et de nos activités professionnelles. Non, çà, c’était avant. Les dernières actualités nous le confirment : l’Hôpital de […]

En savoir plus

Les intérêts d’externaliser vos données.. mais en France surtout

Le lieu d’hébergement et de stockage des données représente un véritable enjeu stratégique pour les entreprises françaises tant en matière de gestion des risques que de conformité aux règlementations locales et européennes. Dans un contexte économique et géopolitique parfois instable, […]

En savoir plus

Aides financières : Connaissez-vous le chèque transformation numérique ?

En cette période morose, nous vous apportons une bonne nouvelle… Pas assez mise en lumière par les instances et peu identifiée par les entreprises, l’aide « Chèque transformation numérique » mise en place par l’Etat est un dispositif financier visant à vous […]

En savoir plus

Meilleurs voeux 2021 avec un cadeau DATA3 !

Toute l’équipe DATA3, au nom de la Communauté d’Agglomération du Grand Dax, vous souhaite santé, bonheur et prospérité Nous espérons que 2021 soit placée sous les signes de l’optimisme à toute épreuve, de la bienveillance collective et de la sérénité […]

En savoir plus

Organismes publics, collectivités, commerces : votre accès Wifi doit être conforme aux obligations légales

Vous êtes maire d’un village, d’une grande ville ? Vous dirigez un camping, une discothèque, un salon de thé ou un bar ? Le fait d’offrir internet à ses clients semble à priori très simple et pourtant peu de services […]

En savoir plus

Le second confinement ne remettra pas en question la sécurité de vos données

DATA3, son équipe et ses solutions restent disponibles pour vous ! Ne perdez plus de temps en pensant que le confinement aura fatalement raison de votre motivation, du développement de votre entreprise ou de vos résultats : à l’aide d’outils […]

En savoir plus