Accelérateur d'innovations

Manager et accélérer votre innovation

Conformite RGPD

RGPD mise en conformite

Contexte du RGPD

Le RGPD ou règlement n° 2016/679, encore appelé règlement général sur la protection des données constitue le texte de référence européen en matière de protection des données à caractère personnel.
Il sera applicable à partir du 25 mai 2018 dans tous les Etats membres de l’Union Européenne, avec pour objectif de renforcer les droits des personnes physiques à la protection des données à caractère personnel, tout en garantissant le bon fonctionnement du marché interne avec la libre circulation des données à caractère personnel.

Il s’appliquera des lors qu’un responsable de traitement de données ou son sous-traitant est établi sur le territoire de l’Union Européenne ou qu’un résident de l’Union Européenne est directement visé par un traitement de données à caractère personnel.

Approfondissons le contexte du RGPD.

Les principales dispositions du RGPD

Territoire

Il harmonise toutes les règles applicables en matière de traitement des données à caractère personnel sur tout le territoire de l’Union Européenne.

Champ d’application

Le règlement s’appliquera aux entreprises et organisations établies dans ou en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations de l’UE. Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens.
Les citoyens européens doivent donner un consentement explicite et positif aux entreprises ou organisations qui souhaitent collecter des données à caractère personnel. Ils disposent le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, d’un droit à l’effacement (droit à l’oubli) et d’un droit à la portabilité des données personnelles (article 20).

Sécurité par défaut

Le règlement européen définit le principe de « protection des données dès la conception »  qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé (article 25 du règlement).
Les entreprises et les organismes seront tenus de notifier dès que possible l’autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement).

Délégué à la protection des données (DPD)

La nomination d’un délégué est obligatoire :

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle » (article 37). Sont concernés l’Etat, les Collectivités Territoriales, les Départements, les Régions et les Etablissements publics (hôpitaux, universités, …).
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. » (art. 37(1)(c)) Sont ainsi visées les données « sensibles » dont notamment celles relatives à l’état de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives aux infractions et condamnations.

Le délégué à la protection des données doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l’autorité de contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits.

Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles devront être précédées d’une étude d’impact sur la vie privée qui devra aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des données personnelles. Le délégué à la protection des données devra consulter l’autorité de contrôle avant de mettre en œuvre les activités en question (article 35 du Règlement).

Il peut exercer ses missions sur la base d’un contrat de service, en qualité de délégué externalisé. Cette fonction peut être mutualisée entre plusieurs PME/PMI ou collectivités de petites tailles.

Déléguer la protection des données!

Sanctions

Le RGPD  donne aux régulateurs le pouvoir d’infliger des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu), en cas de non-respect (article 83(6) du règlement.

La Conformité du RGPD avec KRYPTSYS

Astreint à un strict secret professionnel et fort de notre expertise en protection de données, nous pouvons intervenir de comme DPD (Data Protection Officer) dans la mise en conformité et dans le management de la conformité.

Mise en conformité

Il s’agira de piloter le projet de mise en conformité par :

  • des tests de conformité.
  • un audit de conformité.
  • l’étude d’impact.
  • un plan de conformité.
  • un reporting régulier à la direction générale.
  • par l’obtention d’un label CNIL RGPD.

Management de la conformité

Cette phase qui intervient après la mise en conformité regroupe :

  • la gestion du registre des traitements.
  • la gestion des données et des traitements.
  • la gestion des sous-traitants.
  • l’assistance et le contrôle.
  • la sensibilisation des utilisateurs.
  • le tableau de bord de suivi de la conformité au RGDP.

KRYPTSYS, votre DPD externalisé

Le 25 mai 2018, c’est demain. 60% des entreprises interrogées disent qu’elles ne seront pas prêtes!

Où en êtes-vous? N’attendez pas la dernière minute pour démarrer!

Je vous accompagne dans toutes les étapes de votre démarche de compatibilité.

Contactez* nous pour démarrer la nomination de votre DPD.

Externalisons la fonction de DPO!

(* En remplissant le formulaire, vous communiquez votre nom, prénom, numéro de téléphone et adresse e-mail que nous utiliserons à des fins de relance et pour répondre aux requêtes exprimées dans le message).