Connecting Everything
Contact +33(0)3 88 227 420

Comment protéger les données privées conformément à la GDPR?

21 février 2018

Le Règlement Général sur la Protection des Données (RGPD ou en anglais General Data Protection Regulation GDPR) est le nouveau […]

Catégories

CLOUD5
CMS1
COMMUNICATION1
CYBERSÉCURITÉ2
E-MARKETING2
EMPLOI3
ÉVÉNEMENT1
HÉBERGEMENT1
INTRANET1
NEWS2
OPEN SOURCE1
REALISATIONS1
RSE1
SEO2
SERVICES OPÉRATEUR4
SOLUTIONS DIATEM1
TRÈS HAUT DÉBIT4
WEB7
Retour à la liste

Le Règlement Général sur la Protection des Données (RGPD ou en anglais General Data Protection Regulation GDPR) est le nouveau texte de référence européen en matière de protection des données privées. Ce règlement sera applicable à partir du 25 mai 2018 dans l’ensemble des 28 états membres de l’Union Européenne.

Une réforme nécessaire

Ce texte fait suite aux différents scandales sur l’utilisation des données personnelles de certaines entreprises telles que LinkedIn ou Facebook par exemple. Ce nouveau règlement s’impose aujourd’hui comme une nécessité pour répondre aux nombreux enjeux sociétaux sur l’utilisation et la protection des données à caractère privé.

En effet les entreprises collectent de plus en plus de données personnelles et celles-ci ne sont pas forcément protégées, et sont dans certains cas utilisées de manières abusives. Ainsi le RGPD a pour objectif principal d’établir une réglementation européenne unique, adaptée aux évolutions des technologies et protégeant les données personnelles des citoyens européens.

 

Cette nouvelle réforme poursuit trois objectifs :

  • Renforcer les droits des personnes, avec la création d’un droit à la portabilité des données personnelles,
  • Responsabiliser les acteurs traitant des données,
  • Crédibiliser la régulation par une coopération renforcée entre les autorités de protection des données et par le renforcement des sanctions.

Un changement à préparer

Les changements clés

Les changements concernant le Droit de la personne

 

Droit de la personne GDPR

 

Les changements de responsabilités des entreprises
Les entreprises de plus de 250 personnes sont désormais dans l’obligation de tenir un registre de tout traitement effectué sous leur responsabilité. Les TPE et PME bénéficient d’une législation plus souples sous réserve que les traitements ne comportent pas de risque pour les libertés des personnes concernées, et que les traitements ne portent pas sur des données sensibles (pour en savoir plus : Mon entreprise est-elle concernée par la GDPR ?).

 

De plus, deux nouveaux principes régulent les entreprises. La « Privacy by design » c’est-à-dire la protection des données dès leur conception et la « Security by default » c’est-à-dire la sécurité par défaut. Ces principes obligent les entreprises à considérer la protection des données personnelles directement lors de la conception des produits, services ou systèmes exploitant des données, et leur imposent d’avoir un système d’information sécurisé.

Comment se préparer à la GDPR ?

GDPR
1. Désigner un pilote
Toute entreprise de plus de 250 personnes est dans l’obligation de nommer un Data Protection Officer (DPO). Cette personne a pour missions d’informer, de conseiller et de contrôler le fonctionnement interne de l’organisation à laquelle elle appartient. Le cas échéant, un prestataire externe peut-être désigné pour ce poste.

 

2. Cartographier vos pratiques de traitement des données
Il est extrêmement important de documenter toute pratique de traitement de données. Pour cela il faut :

  • Réaliser l’inventaire de tous les traitements de données personnelles réalisés dans l’organisation,
  • Evaluer et documenter vos pratiques,
  • Identifier les risques et prendre les mesures nécessaires à leur prévention,
  • Maintenir une documentation assurant la traçabilité des mesures prises.

3. Prioriser les actions à mener
Vous devez ensuite identifier les actions à mener pour être en conformité avec les obligations actuelles. Ces actions doivent être priorisées selon les risques que vos traitements représentent sur les droits et les libertés des personnes concernées. Vos clients doivent avoir connaissance du cadre juridique lié au traitement de leurs données. Cela peut impliquer une mise à jour de vos déclarations de confidentialité, des Conditions Générales d’Utilisation de vos services / solutions, etc.

 

4. Gérer les risques liés au traitement des données personnelles
Une analyse d’impact sur la protection des données doit être mise en place après l’identification des traitements de données représentant des risques élevés pour les droits et libertés des personnes concernées.

 

5. Organiser les processus internes
Un haut niveau de protection des données personnelles doit être assuré. Pour cela, il faut mettre en place des procédures internes qui garantissent la prise en en compte de la protection des données à chaque instant et sur l’ensemble des événements qui peuvent survenir pendant un traitement.
Les points suivant doivent faire l’objet d’une vigilance particulière :

  • Collectez et traitez uniquement les données nécessaires,
  • Identifiez la base juridique sur laquelle se fonde le traitement,
  • Vérifiez que vos mentions d’information soient en conformité avec les exigences légales,
  • Assurez-vous que vos sous-traitants respectent ces mêmes obligations,
  • Prévoyez les modalités d’exercice des droits des personnes concernées.

 

6. Documenter la conformité
Un dossier prouvant votre conformité au règlement doit être constitué. Ce dossier doit regrouper actions et documents réalisés à chaque étape du processus de traitement des données.

 

Découvrez notre offre GDPR pour mettre vos plateformes web et / ou vos infrastructures d’hébergement en conformité avec le nouveau règlement européen.

 

Voir l’offre GDPR Diatem

Pour aller plus loin et auditer l’ensemble du système d’information de votre entreprise, nous vous recommandons de prendre contact avec notre partenaire Actecil !

Logo du groupe Actecil

 

 

Le guide de la sécurité des données personnelles par la CNIL

Le guide de la sécurité des données personnelles par la CNIL (version pdf)