La mise en conformité au RGPD de votre organisme est obligatoire. L’autorité de contrôle s’assurera que vous êtes conformes aux dispositions de protection des données personnelles. Le non-respect de ces obligations entraînera à la fois une mise en demeure, mais surtout une sanction financière de la part de la CNIL. Cette sanction peut être rendue publique. Au-delà de l’aspect répressif, une démarche de mise en conformité au RGPD doit être vue comme un gage de confiance entre vous et les personnes dont vous détenez les données personnelles. Vous jouez la transparence sur le devenir de leurs données, et la manière dont vous êtes préoccupés par la sécurité des données personnelles. Il faut voir la protection des données personnelles comme une opportunité, un avantage concurrentiel. Chez Solutions 909, nous essaierons toujours de vous prouver par ses aspects bénéfiques plutôt que par le spectre d’une sanction, la nécessité de la mise enconformité au RGPD. Nous sommes convaincus que c’est la bonne méthode pour embarquer nos futurs clients vers le respect des données personnelles collectées.
Les sanctions administratives :- Niveau 1 : 2 % du chiffre d'affaires mondiale ou 10 millions d'euros selon le maximum des deux.- Niveau 2 : 4 % du chiffre d'affaires mondiale ou 20 millions d'euros selon le maximum des deux.
Tenir un registre des traitements de données, informer les personnes concernées des données collectées et de leurs usages, assurer les droits des personnes (accès, modification, opposition, effacement, etc.). D'autres obligations spécifiques s'appliquent en fonction des organismes et des données traitées.
Le Règlement Général de Protection des Données personnelles a été adopté par le parlement et le conseil de l'Union Européenne en avril 2016. Il est entré en application en 2018.
Tout organisme public ou privé traitant des données personnelles sur le territoire Européen ou traitant des données relatives à des personnes qui se trouvent en Union Européenne (même si l'organisme est à l'étranger).
Vous avez besoin de sensibiliser vos collaborateurs à la protection des données personnelles, de former vos dirigeants à la cybersécurité, ou encore vos développeur au privacy by design venez découvrir nos offres de formation spécialisée pour chaque corps de métier.
Vous souhaitez comprendre les enjeux de la protection des données personnelles pour votre organisme, et savoir quelles sont les principales actions à mettre en place, venez vous entretenir avec l'un de nos DPO. Des créneaux d'entretien dédiés à votre structure !
Il vous faut de l'aide pour effectuer votre audit ou celui de vos sous-traitants, pour réaliser vos analyses d'impact, ou pour mettre en conformité votre site web, faites appel à nos experts DPO pour accompagner votre organisme dans sa démarche de mise en conformité.
Le RGPD c’est le Règlement Général de Protection des Données. Ce règlement européen régit l’utilisation des données personnelles des citoyens de l’union européenne par n’importe quel organisme privé ou public. Il rend donc la mise en conformité des organismes obligatoire.
Article 2 du RGPD : “Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.”
Un DPO est le maître d’œuvre chargé de la mise en conformité de l’organisme. Par conséquent, il veille à la bonne application des dispositions de la protection des données personnelles. Doté de compétences transverses (juridique, technique, organisationnelle) et de connaissance en sécurité informatique et en gestion des risques, le DPO doit aussi être un bon communiquant et être force de proposition. Son rôle est aussi de conseiller et d’informer la direction sur les mesures de protection des données personnelles. Par ailleurs, il est également l’interlocuteur privilégié de l’autorité de contrôle.
Article 38 : Fonction du délégué à la protection des données
Article 39 : Missions du délégué à la protection des données
La nomination d’un Data Protection Officer (DPO) ou Délégué à la protection des données est obligatoire pour les organismes qui remplissent l’une des conditions suivantes :
Article 37 du RGPD : Désignation du délégué à la protection des données
Le DPO peut être nommé en interne. Cependant, il faut faire attention au conflit d’intérêt. En effet, la fonction de DPO ne pourrait être cumulé avec un poste de direction et notamment les postes de directeur du système d’information ou de la sécurité informatique.
De plus, pour devenir DPO il faut assister à une formation de 35h et obtenir une certification. Une fois la certification obtenue, le DPO a une obligation de formation continue tout au long de se vie professionnelle. Ces obligations ajoutées au profil et aux compétences transverses que doit détenir le DPO en font un profil compliqué à pourvoir. Ainsi, faire appel à un DPO externe, c’est s’assurer de s’adresser à un expert formé à la protection des données, pouvant s’appuyer sur des équipes transversales (juridiques, techniques, organisationnelles) dédiées à votre service.
L’audit de conformité ou revue initiale de conformité permet de faire un état des lieux de vos activités au regard du RGPD. Donc c’est à cette étape qu’il faut identifier et recenser tous les traitements de données personnelles. Cela vous permettra d’obtenir une évaluation de votre niveau de conformité de votre organisme et une analyse des écarts de conformité (type de données, durée de conservation, …).
La revue de conformité RGPD est réalisée par le DPO et/ou l’équipe de mise en conformité. Des listes de questions à poser permettent de vous guider dans votre audit. Une visite des locaux et des discussions avec l’ensemble du personnel ou des personnes impliquées dans le traitement des données personnelles, s’avérent souvent nécessaire afin de bien cerner les problématique liées à l’activité et les écarts constatés.
L’audit se termine par la rédaction d’un rapport détaillé faisant l’état des lieux et reprenant les enjeux, les écarts constatés et les contraintes de l’activité de l’organisme, ainsi qu’un plan d’action. Vous devez à ce stade, avoir une vision ojbective d’ensemble de vos traitements, de vos risques, et des actions et mesures à mettre en place pour atteindre votre confformité, selon un calendrier élaboré et repris dans le plan d’action
À la suite de votre audit, vous devez bénéficier d’une liste de vos traitements de données, ainsi que d’un plan d’action. Il vous faut alors rédiger votre registre de traitements dans lequel, vous détaillerez chacun de vos traitements de données en précisant la nature des données, la provenance, la base légale sur laquelle repose la collecte de données et toutes informations que vous jugerez utile pour évaluer les risques pour les personnes concernées d’une violation de données sur ce traitement. Si le risque est élevé vous devrez procéder à une analyse d’impact sur les traitements concernées et prendre des mesures de sécurité supplémentaires.La cartographie doit également comprendre les applications utilisées dans l’entreprise afin de maîtriser les données personnelles qui transitent ou sont stockées dans ces dernières. Une cartographie des sous-traitants doit également être réalisée. En effet, au regard du RGPD, le sous-traitant et le donneur d’ordre sont conjointement responsable des traitements de données sous-traités. Par conséquent, un audit de vos sous-traitants pour connaître leur niveau de conformité est fortement préconisé.
Il est primordial de sensibiliser vos collaborateurs à la protection des données personnelles et à la cybersécurité. Tout d’abord, car 70% des problèmes de sécurité impliquent directement des employés. En formant et en sensibilisant vos collaborateurs, vous diminuez grandement le risque de subir une attaque.De plus, la formation de vos employés aux principes de protection des données personnelles, vous permet de mettre en place le “privacy by design”
L’organisation est propre à chaque organisme en fonction de son activité et secteur. Néanmoins, la formation et la sensibilisation de vos collaborateurs vous permettra de réfléchir à de nouvelles organisations permettant de mettre le respect de la protection des données personnelles au centre. C’est par exemple, la notion de privacy by design, qui vise le respect de ces principes dans la conception en amont de n’importe quel projet.
Bien qu’il n’y ait pas d’obligations particulières en terme de procédures et que celles-ci vont être propre à chacune des entreprises en fonction de leur organisation et activités. Aujourd’hui, il est préconisé pour toutes les entreprises de se doter d’un PRA (Plan de Reprise d’Activité) et d’un PCA (Plan de Continuité d’Activité). Ces procédures sont censées décrire les ressources et les moyens mis en place par votre organisme pour faire face à l’ensemble des risques et problématiques qui pourrait perturber ou interrompre votre activité. De la panne d’un serveur à une attaque par ransomware. D’autres procédures seront probablement nécessaire pour encadrer votre activité et celle de vos collaborateurs.
L’ensemble des contrats de votre entreprise doit être revu au regard du RGPD. En effet, dans chacun d’entre eux il faudra inclure une section faisant état de la protection des données personnelles. Des contrats de travail de vos collaborateurs, à ceux avec vos sous-traitants en passant par vos CGV, il est important de spécifier comment sont traitées les données personnelles dans chacun des cas.
La principale preuve de la conformité d’un organisme est son registre de traitements à jour. Le registre répond aux principes d’accountability (responsabilité). Le ou les rapports d’audit peuvent également prouver la démarche engagée par l’organisme.
Pour maintenir sa conformité, il faut continuer à tenir à jour le registre des traitements, mettre en place le “privacy by design” au sein de l’organisme pour tous les nouveaux projets, et continuer régulièrement à former et à sensibiliser les collaborateurs. Ainsi, procéder à un audit régulièrement est un bon moyen de vérifier que la conformité est efficacement maintenu dans le temps.
Pour aller plus loin dans la protection des données personnelles, il est possible de mener une stratégie de cybersécurité en améliorant les systèmes de défense informatique de votre organisme. Il convient également comme mentionné plus haut dans la partie formation & sensibilisation d’éveiller vos collaborateurs aux enjeux de la cybersécurité et de la protection des données.