Nous trouver
Être rappelé
Nous rejoindre
Icone de Koesio pour le métier de Sécurité
Icone de Koesio pour la RGPD - GDPR | Sécurité

Sécurité

RGPD – Règlement Général sur la Protection des Données

Ce règlement n’est pas une nouveauté en matière de protection des données.

En effet, au niveau Européen, il y a eu plusieurs directives, pas obligatoirement applicables par définition, ce règlement européen est donc le premier texte relatif à la protection des données qui soit obligatoirement applicable par ses pays membres. Cependant en France, depuis 1978 et la loi Informatique et Libertés, plusieurs textes se sont succédés avant le RGPD. En vigueur depuis le 25 mai 2018, le Règlement Général de Protection des Données (RGPD ou GDPR en anglais) encadre le traitement des données personnelles et concerne toutes les organisations.

Introduction au RGPD

La réponse au RGPD est bien plus que technologique, il ne suffit pas d’acheter une solution « conforme RGPD » ou « GDPR compliant ». La mise en conformité de votre entreprise demande une revue de l’ensemble de vos process et de votre organisation. La démarche de mise en conformité RGPD repose sur 4 volets : juridique, organisationnel, process et technologique.

1- Designer un pilote

Comme tout projet, vous devez désigner un pilote qui par la suite pourra être le DPO (ou DPD) de l’entreprise.
Ce référent sera en charge de définir l’ensemble des processus de collecte et de transmission de données de l’entreprise. Par la suite, il recevra les demandes des utilisateurs pour toute question ou suppression de données.

2- Cartographier vos traitements de données personnelles

Avant de mettre en place des actions de mise en conformité, vous devez au préalable réaliser un état des lieux de vos process. Pour cela, vous devez documenter vos traitements de données personnelles, les catégories de données personnelles traitées, les objectifs de chaque traitement, les acteurs (internes ou externes) qui participent à ces traitements, et les flux des données afin d’en donner l’origine et la localisation (UE / hors UE).

3- Prioriser les actions à mener

Avant tout, vous devez identifier les risques liés à vos process afin de prioriser les actions à mener. Ensuite, vous créez un plan d’action, en gardant pour question de base : « Est-ce que je recueille uniquement les données nécessaires à la réalisation de mes traitements ? ». Vous devez également identifier la base juridique de chaque traitement, revoir vos mentions d’informations, contacter vos sous-traitants, prévoir les modalités d’exercice des droits des personnes concernées et enfin, vérifier la bonne mise en place de vos mesures de sécurité.

4- Gérer les risques

Cette étape requiert une « Analyse d’impact relative à la protection des données » (AIPD). L’objectif de cet outil d’évaluation est d’aider à la construction de traitements respectueux de la vie privée et donc conformes au RGPD. Afin d’anticiper les risques et menaces potentiels identifiés, il faut mettre en place des mesures de sécurité.

5- Organiser les processus internes

Tout d’abord, il est nécessaire d’initier une réflexion autour de la protection des données, dès le début d’un projet, on parle de « Privacy by design« . Pour cela, il faut sensibiliser vos collaborateurs aux process que vous avez établis précédemment. Il faut également être en mesure de traiter les modalités d’exécution des droits des personnes, comme les droits d’accès, de rectification ou encore de suppression par exemple. Dernier point, être en mesure d’anticiper d’éventuelles violations de données.

6- Documenter la conformité

Après avoir déployé votre plan d’actions, vous devez documenter toute votre démarche dans un dossier comprenant notamment : le registre des traitements, l’AIPD, les mentions d’information, l’ensemble des procédures et mesures de sécurité, les contrats de sous-traitance, les preuves de consentement de conservation des données personnelles.

Découvrez la solution ISI RGPD

Le DPO - Data Protection Officer - ou en français DPD - Délégué à la Protection des Données

Le DPO est-il obligatoire ?

Il a pour missions d’informer et de conseiller les collaborateurs, mais aussi et surtout de valider la conformité des traitements et d’exercer un contrôle continu. Il faut savoir que le recours à un DPO n’est pas systématique. Cependant il est obligatoire dans 3 cas :
– Les établissements publics
– Les organisations dont l’activité principale est le traitement de données en masse
– Les organisations dont l’activité principale traite des données sensibles

Contrairement à certaines idées reçues, le recours à un DPO n’est pas obligatoire pour les entreprises de 250+ collaborateurs (sauf pour celles qui font partie d’au moins une des 3 catégories ci-dessus) mais il est tout de même fortement conseillé, en fonction de votre secteur d’activité.

Le DPO doit-il être interne ou externe ?

Qu’il soit obligatoire ou non, le Data Protection Officer peut aussi bien être un collaborateur de l’entreprise qu’un prestataire externe. Dans le cas où votre DPO est interne, vous devez vous assurer qu’il soit pleinement conscient de ses droits et devoirs. En effet en tant que responsable du traitement des données personnelles, il doit être en mesure de dénoncer sa hiérarchie en cas de non respect de la conformité.

Le DPO est le garant de la tenue à jour du registre des traitements ainsi que du respect de la conformité des pratiques de l’entreprise vis-à-vis des données personnelles. Le DPO est l’évolution du Correspondant Informatique et Libertés (CIL).

nous gérons les aspects reglementaires de nos solutions numériques

Quelles sanctions pour les entreprises non conformes ?

En France, l’organisme en charge de contrôler la conformité des entreprises est la CNIL. Et les sanctions en cas de non-respect du RGPD sont assez élevées :

> Jusqu’à 10M€ ou 2% du CA mondial pour des infractions relatives aux (Source CNIL) :
– Obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43
– Obligations incombant à l’organisme de certification en vertu des articles 42 et 43
– Obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.
> Jusqu’à 20M€ ou 4% du CA mondial pour des infractions plus graves relatives aux (Source CNIL) :
– Principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9
– Droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
– Transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49
– Obligations découlant du droit des États membres adoptées en vertu du chapitre IX
– Non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.

Cependant, nous avons constaté qu’au delà du risque pécuniaire, vous risquez davantage commercialement ! En effet, si vous ne pouvez répondre favorablement à la demande de votre prospect, il deviendra client de votre concurrent.

Qu’est-ce qu’une donnée personnelle ?

Sont considérées comme données personnelles, les informations se rapportant à une personne physique vivante identifiée ou identifiable, dont le regroupement permet d’identifier cette personne en particulier, directement ou indirectement.
Il y a 7 catégories de données personnelles :

– Les données relatives à l’identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.)
– Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.)
– Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
– Les informations économiques (revenus, impôts, données bancaires, droits sociaux, situation financière, etc.)
– Les données de localisation (coordonnées GPS, géolocalisation véhicule ou téléphone, badges bâtiments, télépéages, etc.)
– Les données judiciaires (casier judiciaire)
– Les données sensibles.

La CNIL définit une donnée sensible comme une « information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes ». On peut ajouter les données relatives aux condamnations pénales ou aux infractions, les données biométriques et génétiques, ou encore le numéro de sécurité sociale (NIR).

koesio vous apporte des solutions numériques

Notre équipe d’experts vous accompagne sur l’ensemble de votre démarche de mise en conformité RGPD

Audit d’exposition de l’entreprise

Conduite de projet

Gestion de la conformité

Qu'est-ce qu'un traitement et un registre de traitements ? Quel est le process de validation de la conformité des traitements ?

La CNIL définit un traitement de données à caractère personnel comme « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, etc.) ».

Un traitement doit comporter un objectif, être associé aux acteurs (internes ou externes) qui y participent, et identifier les flux des données afin d’en donner l’origine et la localisation (UE / hors UE).

Exemples de traitements (liste non exhaustive) : gestion de la paie, vente en ligne, vidéosurveillance, gestion de la facturation, gestion d’un fichier client – fournisseurs, gestion d’un fichier des employés, gestion de fichiers prospects achetés – loués – échangés, facturation et gestion des règlements, stockage en base de données, stockage sous forme de fichiers (Excel, texte, csv,…) / Stockage sous forme papier (factures, fiches de paye, etc…), site Internet – Extranet pour mes clients ou fournisseurs, logs de serveurs, progiciel de gestion intégré, logiciel métier, gestion d’accès aux locaux (badges, pointeuse, etc ), etc.

Les traitements de l’entreprise sont recensés dans un registre des traitements qui est un document, papier ou électronique. Le registre associe à chaque traitement ses objectifs, les acteurs (internes ou externes) qui y participent, et les flux des données afin d’en donner l’origine et la localisation (UE / hors UE).

Une fois la totalité des traitements identifiés et renseignés dans le registre, le DPO, interne ou externe, valide ou invalide leur conformité. En cas de non-validation, il fait un retour et vérifie les actions correctives mises en place afin de valider le(s) traitement(s) en question. Cette étape est cruciale, en effet, il devra, en cas de non-conformité, en informer la CNIL.

Qu'est-ce que le "Privacy by design" ?

Le concept de “Privacy by Design” a pour objectif de garantir que la gestion de la protection de la vie privée soit intégrée dès le début d’un projet.
Prenons l’exemple d’un système de vidéo-surveillance. Avant l’installation du matériel, vous devez prévoir les mesures de conformité RGPD : afficher l’information « vous êtes filmé », définir la durée de conservation des données personnelles (pour rappel, la photo/vidéo d’une personne est une donnée personnelle), définir les personnes qui auront accès à ces données, définir quelle procédure appliquer en cas de vol des données, etc.

koesio vous apporte des solutions numériques

Contactez nos consultants RGPD

Vous souhaitez vous conformer au RGPD ? Nos experts sont là pour vous accompagner dans votre démarche. N’hésitez pas à prendre contact via ce formulaire. Nous déterminerons à vos côtés l’accompagnement adapté à vos objectifs de conformité RGPD.

Vous avez pris connaissance de notre politique de confidentialité

Où nous trouver ?

Découvrez l’agence la plus proche de chez vous

Abonnez-vous
à notre newsletter

🚀 Préparé en seKret par l’agence web Marque Digitale

En me connectant, j’ai accès :

le logo Koesio de la page d'accueil

Vous souhaitez être rappelé ?

Laissez nous vos coordonnées ainsi que votre demande afin que nous puissions vous faire rappeler par le bon interlocuteur
Koesio s’autorise à vous contacter de façon personnalisée à propos de votre demande. Vos données personnelles ne seront jamais vendues à des tiers. Vous pouvez prendre connaissance de notre politique de confidentialité