RGPD (ou GDPR en anglais):
de quoi s’agit-il ?
de quoi s’agit-il ?
Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) vise à renforcer les contrôles sur les traitements de données à caractère personnel, afin d’assurer une protection optimale des libertés et droits fondamentaux des citoyens. Il s’applique à toutes les organisations, européennes ou non, qui traitent des données de personnes morales ou physiques européennes.
Enjeux
- Sécuriser les droits des individus
- Responsabiliser les organisations utilisant des données
- Renforcer la régulation par une coopération entre autorités de protection des données
Echéances
- Entrée en vigueur du règlement le 25 mai 2018
- Certaines autorités Chef de File d’Etats membres de l’UE (ex la CNIL en France) sont plus souples quant à la conformité attendue en mais 2018
Risques
- Suspension/suppression par la CNIL de l’autorisation de traitement de données
-
Amende équivalente à 4 % du chiffre d’affaire global de l’entreprise contrevenante
Assurez en toute sérénité votre mise en conformité pour le 25 mai 2018
avec l’offre d’accompagnement de Partenor Group
depuis le diagnostic jusqu’à la mise en œuvre des services dédiés
RGPD : les 6 étapes recommandées par la CNIL
Désigner un Pilote
Le pilote sera le délégué à la protection des données, en charge de la gouvernance des données personnelles au sein de la structure
Cartographier
Cartographier les données (clients, fournisseurs, collaborateurs,…) et créer un registre des traitements.
Prioriser
Prioriser les actions à mener au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées
Gérer les risques
Mener, pour susceptibles d’engendrer des risques , une analyse d’impact sur la protection des données (PIA)
Organiser
Mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment
Documenter
Mettre en œuvre le principe d’accountability pour apporter la preuve de la conformité au RGPD
Mise en conformité
Pour accélérer votre mise en conformité avec le RGPD, Partenor Group a développé une méthode alliant la vision métier et la vision SI nécessaires à la mise en œuvre de ce nouveau règlement
Conseil Métier
Cartographie et Evaluation
- Cartographie des données (cartographie-type développée par PartenorGroup) et Registre des traitements
- Analyses d’impact relatives à la protection des données (PIA)
- Etude des scénarios d’évolution
Accompagnement
- Définition de la feuille de route
- Plan de formation des collaborateurs concernés
- Mise en oeuvre des droits consacrés par le RGPD
- Sécurisation des traitements (Privacy by Design)
- Procédure d’audit interne
Gouvernance
- Mise en place de la gouvernance par domaine (Marketing/Ventes, RH, Relations Tiers)
- Mise en place du Privacy by Default
Conseil SI
Cartographie et Consentement
- Cartographie de stockage des données métier (cartographie type développée grâce à la connaissance des secteurs et métiers de nos clients)
- Outillages de cartographie globale (Marketing, RH, Relations Tiers…)
- Aide à la mise en œuvre des processus de gestion des consentements (édition des registres, mise en œuvre de services web dédiés…)
Minimisation & Sécurisation
- Services d’analyse données/traitement à des fins de minimisation
- Services de pseudonymisation et d’anonymisation
- Services de supervision et sécurisation des échanges de flux
Gouvernance
- Conseil de mise en place du dispositif de gouvernance des SI sur les données (mode run et projet)
- Mise en place des tableaux de bord de pilotage de respect du RGPD et des risques liés aux failles identifiées
En savoir plus sur l’offre de Conseil au Métier
En savoir plus sur l’offre de Conseil SI
GLOSSAIRE DES MOTS CLÉS LIES AU
RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES
- Accountabilité : obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données
- DPO – Délégué à la Protection des Données : clé de voute de la conformité des données personnelles, le DPO assurance la gouvernance
- Minimisation des données : seules les données strictement nécessaires à un traitement doivent être collectées
- PIA – Privacy Impact Assessment (Étude d’Impact sur la Vie Privée – EIVP en français) : outils d’analyse de l’impact d’un traitement sur la vie privée des personnes
- Portabilité : : toute personne peut récupérer ses données collectées par un responsable A pour les transférer à un responsable B
- Privacy by Default : quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible.
- Privacy by Design : Chaque traitement doit être conforme au règlement dès sa conception.
- Profilage : l’un des grands enjeux du Big Data associé aux algorithmes prédictifs. Il désigne l’analyse et la prédiction du comportement, des achats, du rendement, des déplacements, des préférences… d’une personne physique. Le RGPD impose une étude d’impact avant tout usage de cette activité.
- Pseudonymisation : les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, les données ne sont pas complètement anonymes sans être identifiables.
- Transfert de données : par principe, tout transfert de données hors de l’Union Européenne est interdit.Toutefois, des exceptions existent si les personnes sont clairement informées.