TOUT SAVOIR SUR LE RGPD…

By 11 septembre 2018 octobre 4th, 2018 Non classé

Qui est concerné ?

Tout organisme public ou privé quel que soit sa taille, son pays d’implantation et son activité peut être concerné.

Toute organisation qui traite des données personnelles est concernée.

Pourquoi êtes-vous particulièrement concerné :

Pour vendre vos produits/services, vous avez besoin de prospecter, de connaître vos clients et gérer la facturation.

Vous constituez alors des fichiers concernant vos clients et prospects.

Pourquoi devez-vous respecter le RGPD ?

Certaines de vos données nécessitent une vigilance particulière (données sensibles) :

Révélant l’origine prétendument raciale ou ethnique
Portant sur les opinions politiques, philosophiques ou religieuses
Relatives à l’appartenance syndicale
Concernant la santé ou l’orientation sexuelle
Génétiques ou biométriques
Relatives aux condamnations pénales/infractions

Le traitement de vos données a pour objet ou pour effet de :

Evaluer les aspects personnels ou noter une personne (scoring financier)
Prendre des décisions automatisées
Surveiller systématiquement des personnes
Traiter de données concernant des personnes vulnérables
Traiter de données sensibles (santé)
Traiter à grande échelle de données personnelles
Traiter des  nouvelles technologies
Utiliser des listes noires
Croiser des ensembles de données

Si vos traitements répondent à au moins 2 de ces 9 critères, vous devez a priori conduire une analyse d’impact sur la protection des données.

Mise en place des moyens relatifs au respect du RGPD

Les mesures à prendre vont dépendre de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

Différentes actions doivent alors être mises en place : mise à jour des antivirus, changement régulier des mots de passe complexes, chiffrement de données.

LES 4 ÉTAPES DU RGPD

1 – Constituez un registre de vos traitements de données

2 – Faites le tri dans vos données

3 – Respectez les droits des personnes

4 – Sécurisez vos données.

QUELQUES QUESTIONS À SE POSER

Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?

Les accès locaux sont ils sécurisés ?

Des profils distincts sont ils créés selon les besoins des utilisateurs pour accéder aux données ?

Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?

LA DÉSIGNATION D’UN DPO (DÉLÉGUÉ À LA PROTECTION DES DONNÉES)

Il peut être choisi en interne ou en externe. Il est obligatoire d’en désigner un lorsque le traitement des données s’effectue à grande échelle et présente des risques particuliers. Cette personne doit posséder les compétences requises pour l’accomplissement de sa mission (expertise juridique et technique, bonne connaissance du secteur d’activité, de l’organisation interne) ; il doit disposer des moyens suffisants à l’accomplissement de sa mission (temps, moyens matériels et humains, accès aux informations, être associé en amont aux projets impliquant des données personnelles, être facilement joignable par les personnes concernées) ; et avoir la capacité d’agir en toute indépendance (absence de conflit d’intérêt, possibilité de rendre compte de son action au plus haut niveau de la direction, ne pas être sanctionné pour cette mission, et ne pas recevoir d’instruction dans le cadre de sa mission).

LES 6 BONS RÉFLEXES

1 – Ne collecter que les données nécessaires

2 – Etre transparent

3 – Penser aux droits des personnes

4 – Garder la maîtrise des données

5 – Identifier les risques

6 – Sécuriser les données.

Que faire en cas de difficulté ?

Si votre société a subi une violation de données (destruction, perte, altération, divulgation…), vous devez la signaler à la CNIL dans les 72 heures si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes concernée. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

En cas de sinistre, attaque informatique etc…, vous pouvez contacter www.cybermalveillance.gouv.fr.

 

Se prémunir contre les conséquences d’une telle attaque : vous pouvez faire appel à une assurance. Renseignez-vous sur le contenu possible des polices d’assurance (responsabilité civile, dommages couverts,…) et les services fournis à l’assuré (assistance, gestion de crise).