Petit logo

Foire aux questions

Qu'est-ce que le GDPR ?

Bouton déployer

C’est le 25 mai que ce texte a débuté vraiment sa carrière, deux ans après son approbation dans l'Union européenne.

Toutes les entités collectant, traitant et faisant circuler des Données à Caractère Personnel doivent être d'équerre avec les dispositions de la loi.

Vous devez faire en sorte que votre organisation soit en conformité.

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne, en abrogeant la directive datant de 1995 qui apparaissait vétusté, accentuée par l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques.

Il s’agit aussi d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres, que ce soit en France, en Allemagne, en Italie ou en Espagne ainsi que dans la vingtaine d’autres pays de l’Union. Réduisant ainsi la fragmentation.

Pourquoi dois-je me mettre en conformité ?

Bouton déployer

Face aux multiples menaces qui pèsent sur l’entreprise avec des conséquences graves, c’est gagner la confiance en assurant une bonne protection et une bonne utilisation des données personnelles, chacun en est le garant. Il y a plus de risques à ne pas faire qu’a faire. Outre la sanction, la mise en conformité est un levier de compétitivité faisant sens avec l'économie numérique.

  • Valoriser votre entreprise
  • Eviter les risques sur l’image de l’entreprise, sa réputation (exemple : Uber, Yahoo …)
  • Avantage concurrentiel fort, certains appels d’offre exigent d’être conforme
  • Adhésion de tous, à la sécurité, sensibilisation de chacun des collaborateurs
  • Rationaliser les processus de gestion des données
  • Opportunité de business en instaurant une nouvelle relation client
  • Transparence : actionnaires, clients, salariés
  • Et bien sûr éviter une sanction forte

Qui est concerné ?

Bouton déployer

Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier, par les institutions, organes et organismes de l’Union.

Sur le territoire de l’Union, que le responsable de traitement ou son sous-traitant soit établi dans l’Union ou non ou que le responsable ou son sous-traitant soit établi sur le territoire de l’Union mais que le traitement ait lieu dans l’Union ou non.

Concerne les entreprises, associations, organismes publics et les sous-traitants.

En clair, VOUS COLLECTEZ, STOCKEZ, UTILISEZ DES DONNÉES ?

Qu’est-ce qu’un traitement ?

Bouton déployer

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

C’est le cycle de vie de la donnée en quelque sorte :

  • La collecte : papier, courrier électronique, site internet
  • L’utilisation : scan, photocopies, saisie…
  • Le transfert : vers d’autres organismes, des sous-traitants…
  • La sécurisation : en interne, sur un cloud…
  • La destruction : effacement, déréférencement…

Le Délégué à la Protection des Données, le DPO (Data Protection Officer) ?

Bouton déployer

C’est le chef d’orchestre :

Personne dont le rôle est de contrôler la conformité à la RGPD et de conseiller le responsable des traitements. Les entreprises traitant des données sensibles et/ou à grande échelle ont l’obligation de désigner un DPO. Il succède aux CIL (Correspondant Informatique et Libertés) dont il reprend le statut et les obligations avec des moyens renforcés :

  • Il informe et conseille l’organisme sur ces obligations qui lui incombent.
  • Il dispense des conseils quant aux analyses s’impacts et s’assure de leurs exécutions.
  • Il coopère avec l’autorité de contrôle, il fait office de point de contact.
  • Il s’assure de la bonne tenue de da documentation.
  • Il doit avoir certaines qualités, compétences et connaissances.
  • Il ne doit pas y avoir de conflit d’intérêts, il ne doit donc pas déterminer les finalités et moyens des traitements.
  • Il n’y a pas de profil type, avoir les moyens et l’autonomie nécessaires à l’exercice de sa mission.

Même si le DPO n’est obligatoire que dans certains cas, il est vivement conseillé pour vous accompagner comme tiers de confiance. Le DPO peut être externe, mutualisé et être une entité morale comme un groupement de compétences, car il doit avoir des compétences techniques, juridiques et organisationnelles.

La tenue d’un registre

Bouton déployer

Chaque responsable du traitement et, le cas échéant le représentant du responsable du traitement, tienne un registre des activités de traitement effectuées sous leur responsabilité.

    Ce registre comporte les informations suivantes :

  • Le nom et les coordonées de l'entreprise.
  • Les raisons du traitement des données.
  • La description des catégories de personnes concernées et des données à caractère personnel.
  • Les catégories d'organisations recevant les données.
  • Le transfert des données vers un autre pays ou à destination d'une autre organisation.
  • Les délais de suppression des données, si possible.
  • La description des mesures de sécurité utilisées pour le traitement, si possible.

Ne s’applique pas pour les entreprises ou organisation de moins de 250 employés sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données ou sur des données relatives à des condamnations pénales et à des infractions.

Les TPME peuvent néanmoins tenir un registre simplifié, ce qui permet de les aider dans leur mise en conformité.

La réalisation d’une analyse d’impact

Bouton déployer

Les analyses d’impact peuvent être obligatoires pour les traitements à haut risque, le recours à des nouvelles technologies, compte tenu de la nature, de la portée, du contexte et des finalités du traitement. Le responsable du traitement effectue, avant le traitement une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Quelles sont les conséquences d’une non-conformité au GDPR ?

Bouton déployer

Les coûts liés à la violation des règles peuvent être élevés et peuvent amener à de grosses difficultés financières, l’impact peut-être également néfaste pour votre réputation et votre image engendrant ainsi la méfiance des clients.

  • Jusqu’à 20 millions €
  • 4 % du chiffre d’affaires annuel mondial

Ce n’est pas juste pour le 25 mai 2018, tout changement dans l’organisation nécessite de vérifier s’il respecte bien le RGPD.

Rôle de la CNIL

Bouton déployer

La CNIL est l’autorité de contrôle et de régulation française chargée de veiller à la bonne application par les acteurs économiques de la Loi Informatique et Libertés et maintenant du GDPR.

Ces missions :

  • Contrôler l’application du présent règlement et veiller au respect de celui-ci
  • Favoriser la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement
  • Conseiller au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement
  • Encourage la sensibilisation des responsables du traitement et des sous-traitants
  • Fournir sur demande à toute personne concernée, des informations sur l’exercice des droits que lui confère le règlement
  • Traiter des réclamations introduites
  • Coopérer avec d’autres autorités de contrôle
  • Effectuer des requêtes sur l’application du présent règlement
  • Suivre les évolutions pertinentes
  • Etablir et tenir à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact
  • Fournir des conseils sur les opérations de traitement
  • Encourager l’élaboration de code de conduite
  • Encourager la mise en place de mécanismes de certification avec examen périodique des certifications
  • Rédiger et publier les critères d’agrément d’un organisme chargé du suivi des codes de conduite et procéder à l’agrément de ces organismes
  • Autoriser les clauses contractuelles
  • Approuver les règles d’entreprise contraignantes
  • Contribuer aux activités du comité
  • Tenir des registres interne des violations au présent règlement et des mesures prises
  • Et autres missions…

Quels sont les gestes préventifs contre la cybercriminalité ?

Bouton déployer
  • S’assurer que tous les périphériques extérieurs tels que disques externes, clés USB, soient sécurisés et non nocifs pour votre entreprise.
  • Sécuriser son navigateur web car c’est par ce moyen que la majorité des attaques informatiques ont lieu.
  • Vérifier les mises à jour de vos applications et assurez-vous d’être protégé par antivirus et d’autres mesures de sécurité.
  • Assurez-vous d’être sur le bon site, en https, surveillez vos téléchargements, ils peuvent cacher des fichiers indésirables.
  • Il est également nécessaire de faire attention à ses mails, contrôler l’expéditeur et n’ouvrez pas les pièces jointes de provenance inconnue. N’envoyez pas de données importantes telles les mots de passe, RIB et données personnelles.
  • Soyez vigilants sur la publication de vos données personnelles. En effet, une fois partagées, c’est votre vie privée que vous publiez sur le web, les utilisateurs peuvent alors s’en servir comme bon leur semble.
  • N’oubliez pas de sauvegarder toutes vos données de manières sécurisées.

Vous ne trouvez pas de réponse à vos questions ? Contactez-nous.