Règlement général sur la protection des données
Les entreprises et les collectivités doivent désormais prendre les mesures utiles afin de garantir au mieux la sécurité des données de leurs clients, de leurs fournisseurs et de leurs collaborateurs.
Elles sont tenues à une obligation légale d'assurer la sécurité des données personnelles collectées.
L'entreprise garantie ainsi l'intégrité de son patrimoine de données en minimisant les risques de pertes de données ou de piratage.
Le cadre réglementaire fixé par la RGPD permet d'assurer la transparence, et de garantir les droits des personnes concernées, et enfin de responsabiliser les sociétés dans le traitement des données collectées.
Que dit la loi ?
"Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès."
Article 34 de la loi informatique et libertés
Notre consultant inscrit à la CNIL, vous accompagne dans les différentes phases de votre projet RGPD :
L'élaboration de la cartographie des traitements de données
Le registre des traitements
L'étude d'impact
La mise en place de la sécurisation des données
Faire le tri de vos données
Respectez le droit des personnes
Sécurisez vos données
Traitement des données
Notre rôle pour aider vos entreprises à se mettre en conformité consiste tout d’abord à dresser la cartographie des traitements.
Cela signifie qu'à chaque fois qu'il y a un recueil de données personnelles, cela fera partie d'une liste de traitements pour lesquels il faudra apporter des préconisations et des solutions de sécurisation.
Voici quelques exemples concrets que l'on rencontre dans la plupart des sociétés :
- Gestion des candidatures
- Gestion de la paie
- Gestion des informations clients
- Gestion des demandes de factures
- Géolocalisation
- Gestion des contraventions
- Gestion parc de smartphones
- Compte personnel de formation
Tri et analyse des données
Ensuite il faut vérifier que les informations comportent un certains nombres d'éléments comme par exemple :
- Quel est la finalité de collecter des données, dans quel but ?
- y a t'il besoin d'un consentement ? (intérêt juridique)
Celui ci peut se matérialiser par une case à cocher et non par une case déjà cochée par défaut. En tout état de cause, il doit libre.
- Combien de temps doit on conserver les données ?
- Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits via un espace client internet.
Respect des droits des personnes
Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant.
Le responsable de fichier doit expliquer aux personnes concernées la procédure (où, comment et à qui s'adresser ?) permettant de les exercer concrètement.
Le responsable du fichier dispose d’un délai d'un mois pour répondre aux demandes.
Pour être loyale et licite, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes sur :
- l’identité du responsable du fichier ;
- la finalité du fichier ;
- le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ;
- les destinataires des données ;
- leurs droits (droit d’accès, de rectification, et d’opposition) ;
- les éventuels transferts de données vers des pays hors UE.
Sécurisation des données
Le responsable du fichier doit identifier les risques sur la vie privée des personnes concernées engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées.
Il est nécessaire de se poser les bonnes questions pour évaluer l'analyse d'impact relative à la protection des données.
Quels pourraient être les impacts sur les personnes en cas :
- d’accès illégitime ?
- de modification non désirée ?
- de disparition ?
- Est-ce grave ?
- Comment chacun de ces scénarios pourrait-il arriver ?
- Est-ce vraisemblable ?
- Quelles mesures (de prévention, de protection, de détection, de réaction…) devrait-on prévoir pour réduire ces risques à un niveau acceptable ?
Mise en place d'un catalogue de bonnes pratiques aidant à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :
- les "éléments à protéger" : minimiser les données, chiffrer, anonymiser, permettre l'exercice des droits...
- les "impacts potentiels" : sauvegarder les données, tracer l'activité, gérer les violations de données…
- les "sources de risques" : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
- les "supports" : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…
Pour traiter un risque identifié et le réduire à un niveau acceptable, l'utilisateur des guides peut sélectionner une ou plusieurs mesures appropriées.
Quels types de sanctions de la part de la CNIL en cas de manquement à la RGPD ?
À l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.