LA RGPD ET VOUS ?

Mais que veut dire RGPD, c'est le Règlement Général sur la Protection des Données ou GDPR - General Data Privacy Regulation). Cela concerne toutes les données que vous collectez sur les individus, sur tous les supports. Le digital est en premier lieu un endroit privilégié pour collecter cette donnée sur vos consommateurs ou vos prospects. Comment Optima va pouvoir vous aider ? Décryptage...
Source : daf mag

 
RGPD

Cette règlementation entre en vigueur dès 2018 et vous êtes concerné dans le cadre de votre activité.
La garde des Sceaux, ministre de la justice, Nicole Belloubet a présenté ce projet de loi relatif à la protection des données personnelles qui adapte au droit de l'Union européenne la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Tout d'abord, nous vous invitons à regarder la vidéo ci-dessous pour un décryptage :



Il est important de comprendre quel est le niveau de maturité de votre entreprise afin d'identifier les étapes à venir.

La division OPTIMA CONSULTING d'OPTIMA DSI vous accompagne dans vos démarches de mise en conformité de votre structure avec le Règlement Général de la Protection des données. En phase amont, OPTIMA DSI réalise l'audit de votre système d'information et vous fait un ensemble de préconisations en tenant compte de vos priorités stratégiques et budgétaires.

Puis, OPTIMA DSI vous propose de mettre en œuvre les solutions informatiques spécifiques ou non, à même de vous mettre en conformité : confidentialité des données, traçabilité avec externalisation éventuelle de ces informations. Au quotidien, l'externalisation de votre délégué à la protection des données - mission réalisée par OPTIMA DSI - vous apporte une solution souple et efficace à ces nouvelles contraintes règlementaires.


RGPD2

1 - Quelles sont les entreprises concernées par le RGPD?
Vous traitez de grandes quantités de données personnelles dans le cadre de votre activité? Alors vous êtes (plus que) probablement concerné par le RGPD. Découvrez précisément qui sont les sociétés qui doivent se préoccuper de ce nouveau règlement. Le RGPD s'applique "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier." Ce règlement s'applique à toute structure (qu'elle soit responsable de traitement des données ou sous-traitant) ayant un établissement dans l'Union européenne ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l'Union européenne.


2 - Les obligations des entreprises en matière de traitement des données personnelles
Le RGPD renforce certaines obligations déjà existantes en matière de protection des données personnelles, et en crée de nouvelles. Voici un aperçu des grands principes abordés par le règlement, et de leurs implications pour les organisations qui doivent se mettre en conformité. La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l'entreprise protège les données.

Pour être en conformité avec le RGPD, les entreprises doivent respecter dans leurs traitements les grands principes de la dataprotection, dont beaucoup étaient déjà présents dans la loi Informatique et libertés. Le RGPD vient renforcer les droits des personnes dont les données personnelles sont collectées. Optima DSI vous accompagne dans cette transition et la mise en conformité.


3 - Retroplanning: Les étapes pour être en conformité d'ici mai 2018
La mise en conformité avec le RGPD nécessite d'organiser un véritable "big bang" de la data au sein de son organisation, qui impactera tous les services touchant aux données personnelles. Dressons ensemble les étapes et le timing les plus pertinents.
Aussi, il sera judicieux de commencer par réaliser un état des lieux, et de dessiner la feuille de route correspondante qui recensera les chantiers prioritaires, en termes d'organisation, de processus de traitement et de process liés aux droits des personnes.
 

 

3 - Les obligations des entreprises en matière de traitement des données personnelles Le RGPD renforce certaines obligations déjà existantes en matière de protection des données personnelles, et en crée de nouvelles. Voici un aperçu des grands principes abordés par le règlement, et de leurs implications pour les organisations qui doivent se mettre en conformité. La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l'entreprise protège les données. Pour être en conformité avec le RGPD, les entreprises doivent respecter dans leurs traitements les grands principes de la dataprotection, dont beaucoup étaient déjà présents dans la loi Informatique et libertés. Le RGPD vient renforcer les droits des personnes dont les données personnelles sont collectées. Les 8 grands axes de la protection des données Le cabinet Staub & Associés a identifié 8 grands principes de la dataprotection, qui sous-tendent le RGPD. Voici une présentation synthétique de ces derniers. Principe de loyauté: tout traitement de données personnelles doit être légal et transparent aux yeux de la personne concernée, ce qui signifie pour l'entreprise une obligation d'information renforcée: la personne concernée doit recevoir une information poussée sur les données collectées, qui précisera chacune des finalités poursuivies par la collecte, ainsi que les droits dont dispose la personne sur ses données. Le consentement express aux traitements de ses données doit être recueilli. Principe de proportionnalité: une donnée personnelle ne peut être collectée que pour une finalité précise, expresse et légale. La donnée ne peut donc pas être collectée "par défaut", elle doit être pertinente par rapport à la finalité envisagée. Si des données personnelles sont collectées de manière superflue, il y a manquement au principe de proportionnalité. D'où la nécessité de définir précisément la finalité de la collecte. Principe de minimisation: seules les données strictement nécessaires à la finalité poursuivie pourront être collectées. Dès lors, il est nécessaire de supprimer les données non pertinentes. Une obligation à prendre en compte avant la mise en place des outils de traitement! Principe de réactivité: les données personnelles conservées doivent être exactes, précises et actuelles. Ce qui nécessite donc de les tenir à jour. Par ailleurs, le responsable du traitement des données est tenu d'informer les personnes concernées en cas de violation de leurs données personnelles (art. 34 du RGPD). Principe de sécurité: le respect de la confidentialité des données personnelles doit se traduire par ma mise en place de dispositifs et procédures de sécurité, tant du côté du responsable du traitement que de ses sous-traitants. Ce qui nécessite de faire travailler ensemble les services juridiques et techniques. La démarche de privacy by design (voir ci-dessous) introduite par le RGPD rend cette obligation de sécurité structurelle. Principe de conservation limitée: le règlement interdit de conserver indéfiniment les données personnelles. La durée de conservation choisie doit être justifiée par la finalité du traitement. Les données qui ne sont plus utilisées doivent donc être supprimées. Principe d'information: les personnes dont les données personnelles ont été collectées disposent de droits spécifiques: accès à l'information, rectification, effacement, portabilité... Elles peuvent les faire valoir à tout moment. Principe de territorialité: si l'entreprise envisage de faire sortir en dehors de l'espace européen les données personnelles de personnes résidant en Europe, des précautions complémentaires sont nécessaires. Elle devra notamment solliciter le consentement des personnes concernées. Par ailleurs, il sera nécessaire de créer un hub technicojuridique assurant aux données le même niveau de protection qu'en Europe. 4 nouveautés introduites par le RGPD Le règlement européen de protection des données personnelles introduit plusieurs principes totalement nouveaux dans la gestion des données. En voici une brève présentation. Principe de coresponsabilité: désormais, ce n'est pas le seul "responsable du traitement" qui est juridiquement responsable des données. Les sous-traitants et prestataires de l'entreprise peuvent également assumer une responsabilité directe. Le responsable du traitement doit s'assurer de la conformité de ses fournisseurs, et les responsabilités sont distribuées en fonction de la mainmise de chacun sur les données. La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C'est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design doit donc être traduit en dur dans le code source des outils utilisés par l'entreprise. La démarche de security by default: par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent être conçus de façon à discriminer les données selon les traitements et habilitations, pour répondre à cette obligation. La démarche d'accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.
 

2 - Les obligations des entreprises en matière de traitement des données personnelles
Le RGPD renforce certaines obligations déjà existantes en matière de protection des données personnelles, et en crée de nouvelles. Voici un aperçu des grands principes abordés par le règlement, et de leurs implications pour les organisations qui doivent se mettre en conformité. La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l'entreprise protège les données.

Pour être en conformité avec le RGPD, les entreprises doivent respecter dans leurs traitements les grands principes de la dataprotection, dont beaucoup étaient déjà présents dans la loi Informatique et libertés. Le RGPD vient renforcer les droits des personnes dont les données personnelles sont collectées. Optima DSI vous accompagne dans cette transition et la mise en conformité.

 

3 - Retroplanning: 5 étapes pour être en conformité d'ici mai 2018
La mise en conformité avec le RGPD nécessite d'organiser un véritable "big bang" de la data au sein de son organisation, qui impactera tous les services touchant aux données personnelles. Dressons ensemble les étapes et le timing les plus pertinents.
Aussi, il sera judicieux de commencer par réaliser un état des lieux, et de dessiner la feuille de route correspondante qui recensera les chantiers prioritaires, en termes d'organisation, de processus de traitement et de process liés aux droits des personnes.

 
RGPD3

Nos clients

RADIO-RENNES OUEST-STRUCTURES bardon LE-TEMPS-DU-REGARD delasalle FUTURSKILL BIEN-VIEILLIR client-1 2 4 5 6 10 12 13 14 15 hh AS ERP-JEAN-JANVIER FDSEA FFB-2 INITIA IXI madeofoods OCEANE SERVICAD

Dernière Actu