Heures d'ouverture

9h-12 & 14h-18h du Lundi au Vendredi

Appelez-nous

+33 1 83 64 25 33

Nous sommes à votre disposition





Les Basses Forges, 35530 Noyal-Sur-Vilaine

Attention la réglementation Européenne RGPD entre en vigueur prochainement !

Protection des données personnelles : Attention la réglementation Européenne RGPD entre en vigueur le 25/5/2018

 

1) Le RGPD, qu’est-ce que c’est ?

Le RGPD, qui signifie “Règlement Général sur la Protection des Données”, est une nouvelle directive européenne qui oblige les entreprises et les administrations à respecter certaines règles concernant le traitement des données à caractère personnel.

Entré en vigueur le 24 mai 2016, applicable dès le 25 mai 2018, il s’applique à toutes les structures, publiques comme privées, et ce quelle que soit leur taille.

2) Les objectifs du RGPD

  • uniformiser la protection effective des données dans toute l’Union européenne
  • mettre à jour le droit européen en matière de protection des données personnelles
  • responsabiliser les entreprises en développant l’auto-contrôle.
  • renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.)

3) Qu’est-ce qu’une donnée personnelle / donnée à caractère personnel ?

Toute donnée pouvant être rattachée à un citoyen européen est considérée comme une donnée à caractère personnel.

4) Sur quels documents ces données sont-elles présentes ?

Ces données sont présentes sur des documents de type : factures, fiches de paie, fiches client, dossiers médicaux, annuaires téléphoniques… que ces documents soient sous format papier ou sous format électronique.

5) Quelles obligations pour l’entreprise : Responsabilité ?

Sur le plan pénal, la responsabilité en matière de RGPD est allouée au chef d’entreprise. En cas de manquement à la loi, c’est lui qui sera poursuivi, et ce, même si le respect du RGPD a été confié à un tiers ou à un prestataire.

6) Quelles obligations pour l’entreprise : LOURDES sanctions ?

L’Union Européenne a souhaité frapper fort avec de lourdes sanctions applicables à toute organisation n’étant pas en mesure de prouver qu’elle a mis en oeuvre les moyens nécessaires pour respecter la législation.

Le RGPD prévoit plusieurs amendes :

  • amende administrative (4 % du chiffre d’affaires annuel mondial pour les entreprises, 20 millions d’euros minimum pour les administrations)
  • amende au tribunal pénal
  • éventuels dommages et intérêts si une plainte a été déposée

7) Comment être en conformité ?

Voici les étapes à respecter pour assurer la conformité de sa structure avec le règlement RGPD :

  1. Établir s’il est nécessaire pour l’entreprise ou l’organisation de disposer d’un DPO (Data Protection Officer), en interne ou en externe.
  2. Réduire au minimum les données personnelles collectées.
  3. Vérifier que les personnes donnent leur consentement à l’exploitation de ces données.
  4. Permettre aux personnes de récupérer éventuellement leurs données dans des formats structurés et exploitables.
  5. Tracer l’ensemble des traitements de données dans un registre de conformité.
  6. Renforcer la sécurité informatique de son système d’information. L’entreprise doit être capable d’assurer la confidentialité, l’anonymisation, l’intégrité et la disponibilité de ces données personnelles.

8) De la nécessité de nommer un DPO ?

Pour certaines structures, la nomination d’un DPO (Data Protection Officer) est une obligation légale. Cela concerne notamment toutes les structures publiques, et toutes les entreprises qui collectent des données à caractère sensible (données de santé, données biométriques, opinions politiques, convictions religieuses…) , ou lorsque la collecte fait l’objet d’un suivi régulier et systématique.

Au delà de l’aspect obligatoire, la nomination d’un DPO peut être volontaire, dans l’optique de disposer d’une personne compétente dédiée au respect du RGPD.

9) Le DPO : en interne ou en externe ?

A savoir que le DPO ne doit pas nécessairement être nommé en interne. Il s’agit d’une responsabilité qu’il est possible d’externaliser auprès de prestataires spécialisés et compétents. Cela est d’autant plus pertinent que les compétences d’un DPO sont très diversifiées : compétences juridiques, informatiques, cybersécurité, diplomatie et communication.

Disposer d’un DPO permet ainsi de se donner les moyens de respecter la législation, mais aussi, d’afficher un label de sécurisation des données personnelles pouvant représenter un avantage concurrentiel.

10) RGPD et sécurité informatique

A l’heure ou la presse IT fait les choux gras des incidents informatiques, et notamment piratages, ransomware, vers et virus en tous genre qui pullulent sur la toile et causent des pertes importantes aux grandes comme aux petites structures, la sécurité informatique est un enjeu que les entreprises ne peuvent plus ignorer.

La mise en conformité avec le RGPD est une bonne occasion de faire un état des lieux de son système d’information et de la façon dont les données sont gérées et protégées.

C’est l’occasion de procéder à des audits informatiques, notamment audit de système d’information et audit de sécurité informatique, mais aussi de mettre à plat sa politique de protection des données, identifier les éventuels cas de Shadow IT, ou encore, retravailler sa politique globale de sécurité informatique.

Je peux vous accompagner dans toutes ces étapes afin de vous permettre de disposer d’un système d’information sécurisé et conforme au RGPD :

  • En sécurisant les données, de leur collecte à leur exploitation
  • En sécurisant l’accès à ces données, avec des niveaux en fonction de la criticité des données
  • En sécurisant les stockage des données et en garantissant l’intégrité et la confidentialité de ces données.
  • En optimiser la sauvegarde et la restauration des données en cas de panne, de perte ou de destruction.