Données personnelles et numériques de vos salariés, clients, fournisseurs et prospects. Comment mettre en place, dans votre entreprise et sur le web, les nouvelles obligations RGPD ?
Rendez-vous au cabinet Degez-Kerjean 5 bis Bd Foch – 49100 ANGERS | Parking Leclerc à 50m – cocktail de fin
Inscrivez-vous à la conférence du 14 juin
Le règlement général sur la protection des données impose aux entreprises d’anticiper les situations susceptibles de menacer l’intégrité des données personnelles. La sécurité des environnements informatiques est concernée. Cette réglementation vise essentiellement les GAFA (Google, Apple, Facebook et Amazon), mais elle s’applique à toutes les entreprises.
La date du 25 mai 2018 n’est pas une date couperet. La Cnil attend cependant des organisations qu’elles montrent des signes tangibles d’avancement dans leur chantier de mise en conformité.
Afin de vous accompagner dans cette démarche nous avons mis en place un partenariat avec le cabinet d’avocats Degez-Kerjean. Vous pouvez ainsi coupler la réflexion juridique et la solution technique.
6 étapes préconisées par la CNIL
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
ETAPE 1 : DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.
ETAPE 2 : CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
ETAPE 3 : PRIORISER LES ACTIONS À MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
ETAPE 4 : GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
ETAPE 5 : ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
ETAPE 6 : DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
7 mesures à mettre en place
Tenir un registre des traitements
Les entreprises de plus de 250 employés doivent tenir un registre actualisé de tous leurs traitements de données personnelles. Consultable à tout moment par la Cnil, ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement (démarchage commercial, analyse statistique…).
Identifier le périmètre des données sensibles
La réforme européenne préconise le cryptage ou la pseudonymisation pour les données les plus sensibles. Par données sensibles, elle va plus loin que la définition établie par la loi de 1978. Il s’agit des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des personnes.
Garantir les droits des personnes
L’entreprise doit obtenir le consument explicite des personnes concernées par le traitement et pouvoir en apporter la preuve. Pour les mineurs de moins de 16 ans, le consentement d’un parent ou d’un tuteur légal est obligatoire. Le droit à l’oubli oblige le responsable du traitement à garantir aux individus qui lui en feront la demande que leurs données seront bien supprimées dans le délai fixé. Le règlement instaure aussi un droit à la portabilité. Soit la possibilité d’obtenir les données personnelles le concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur.
Revoir les contrats fournisseurs
Le règlement met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Le responsable du traitement doit s’assurer qu’ils sont bien engagés sur la voie de la conformité en insérant des clauses contractuelles rappelant leurs nouvelles obligations. Il peut aussi introduire une clause de « rendez-vous » – fixant les réunions d’étapes d’ici à mai 2018 – une clause d’audit, voire des pénalités financières en cas de manquement aux engagements qualité (SLA).
Rédiger une charte de bonnes pratiques
Une charte annexée au règlement intérieur permet de rappeler aux collaborateurs un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. Entre autres, un salarié ne peut accéder ou supprimer des informations ne relevant pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Il doit aussi respecter les règles de sécurité définies par le service informatique.
Définir les nouvelles missions du DPO
Appelé à remplacer le Correspondants informatique & libertés (CIL) en mai prochain, le data protection officer a des pouvoirs élargis. Alors que le CIL est le garant du respect des dispositions de la loi informatique & libertés, le DPO exerce un contrôle des règles internes de protection et vérifie leur bonne exécution. Le G29, le groupe des Cnil européennes, a précisé le profil de ce DPO et de ses missions.
Se préparer à la possibilité d’une fuite de données
L’entreprise doit mettre en place les procédures d’escalade qui seront activées en cas de violation de données personnelles en termes notamment de communication de crise et d’information. Le responsable du traitement doit notifier la Cnil si possible dans les 72 heures après en avoir pris connaissance. Il doit aussi avertir « dans les meilleurs délais » les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de mots de passe ou de numéros de cartes bancaires.