28-05-2019
GDPR, 1 an après, où en êtes-vous?

 

Ce guide a été rédigé notre DPO, Hamza Mahali, dans le but d’aider et de sensibiliser nos clients dans leur démarche de mise en conformité vis-à-vis du Règlement européen relatif à la protection des données à caractère personnel également connu sous l’appellation « RGPD » ou encore « GDPR ».

Pour de plus amples informations concernant votre mise en conformité, n’hésitez pas à contacter le contacter à l’adresse email suivante: gdpr@digitec.be

Cette directive européenne en quelques points :

  • Protection des données personnelles des citoyens européens.
  • Centralisation des incidents de sécurité.
  • Homogénéisation de la réglementation européenne.
  • Protection pour les données des enfants (- de 16 ans).
  • Sanction des entreprises qui ne font pas d’efforts en matière de protection des données avec des amendes très salées.
  • Une définition détaillée de ce qu’est une donnée personnelle.
  • Des mesures organisationnelles plus strictes : sensibilisation de l’équipe, mises à jour des politiques de confidentialité.

Toute organisation, européenne ou autre, qui traite des données personnelles de résidents européens est concernée.

1e Etape : Choisir un chef de projet.

Dans certains cas, un « Délégué à la protection des données » ou « DPO » sera obligatoire :

  • Si vous êtes un organisme public.
  • Si votre activité vous amène à manipuler des données personnelles à grandes échelles, ou à manipuler des données sensibles.
  • Si Les données dites sensibles sont relatives aux enfants, à la santé, à l’appartenance syndicale, à l’orientation religieuse ou sexuelle ou encore à des données d’ordre judiciaire.

Dans les autres cas, il est néanmoins recommandé d’en nommer un pour piloter les actions liées à la protection des données.
Cette personne doit avoir une bonne compréhension des enjeux informatiques et juridiques et peut être formé pour assumer ce rôle.

Le DPO aura notamment pour tâche :

  • D’ informer et de conseiller les collaborateurs interne, externe et les sous-traitants qui ont accès aux données concernées.
  • De conseiller votre organisation préalablement à la conception d’un projet qui touche ces données.
  • De coopérer avec l’autorité de contrôle le cas échéant.

2e Etape : Etablir un registre des traitements.

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.

Document de recensement des traitements, il reflète la réalité de vos traitements de données personnelles et vous permet d’identifier :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données.
  • Les catégories de données traitées.
  • À quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées.
  • Combien de temps vous les conservez.
  • Comment elles sont sécurisées.

Le registre est un outil de pilotage et de démonstration de votre conformité au RGPD.
Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions à savoir :
Les données collectées sont-elles proportionnelles au traitement ?
Les données ont-ils une durée de vie ? La durée est-elle raisonnable ?
Les données sont-elles sécurisées ?

3e Etape – Mesures de sécurité

Les responsables de traitement et les sous-traitants doivent prendre toutes les mesures nécessaires pour assurer la sécurité et la confidentialité des données personnelles qu’ils traitent en prenant des différentes mesures :

  • Des mesures de sécurité physiques : sécurité des accès aux locaux, clean desk, Armoires à clefs, etc… ;
  • Des mesures de sécurité informatiques : antivirus, sécurisation des mots de passe, mises à jour, etc… ;

Ils doivent également veiller à ce que seuls les destinataires autorisés puissent accéder aux données.

Cryptage des données

Le cryptage ou chiffrement des données est un procédé technique qui permet de rendre inutilisable le contenu d’un document à toute personne ou système qui ne dispose pas de la clé de déchiffrement. Dans le cadre du GDPR, le chiffrement des données est un moyen de répondre aux exigences légales en rendant inutilisables les données en cas de perte ou de vol de ces dernières.

Gestion des utilisateurs et des accès

Définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs tâches.

Supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique, ainsi qu’à la fin de leur contrat permet d’avoir une bonne hygiène informatique.

Il est nécessaire aussi de réaliser un check annuel des habilitations afin d’identifier et de supprimer les comptes non utilisés et de rectifier les droits accordés sur les fonctions de chaque utilisateur.

Une bonne gestion des accès permet de limiter les fuites de données confidentielles.

Sauvegarde des données

Pour assurer la disponibilité et l’intégrité des données, il est important de mettre en place une politique de sauvegarde adaptée aux besoins de l’entreprise.
Il faut donc disposer d’un plan de sauvegarde précis et à jour et il est important de s’assurer d’avoir établi un PCA (Plan de Continuité d’Activité) ainsi qu’un PRA (Plan de Reprise d’Activité).

Toute cyberattaque engendre une perte financière importante. Elle aura aussi un impact négatif sur l’image de l’entreprise vis-à-vis de ses clients, fournisseurs et prospects.
la résolution de problèmes techniques dus à une cyberattaque est particulièrement chronophage et nécessiterait en moyenne 9 semaines.

4e Etape – Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire.

Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Votre dossier devra notamment comporter les éléments suivants :

La documentation liée aux traitements des données personnelles

  • Le registre des traitements pour les responsables de traitements et les catégories d’activités de traitements pour les sous-traitants.
  • Les analyses d’impact relatives à la protection des données (DPIA) pour les traitements à risques.
  • L’encadrement des transferts de données hors de l’Union européenne
  • Etc…

L’information aux personnes concernées.

  • Les mentions d’information des droits.
  • ​Les modèles de recueil du consentement des personnes concernées.
  • Les procédures mises en place pour l’exercice des droits.
  • La politique de confidentialité
  • Etc…

Les contrats qui définissent le rôle et la responsabilité des acteurs

  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
  • Etc…

Conclusion

En regardant dans le rétroviseur, on peut parler du point culminant pour cette 1e année de mise en application :

La condamnation de Google à une sanction financière record de 50 millions d’euros pour une série d’infractions au RGPD. Il s’agit du record actuel au sein de l’Union européenne, les autres peines recensées dans les autres États membres étant bien plus modestes.

Aujourd’hui, des sanctions ont été prononcées dans douze pays européens : la France, l’Allemagne, l’Italie, la Pologne, l’Autriche, le Danemark, le Portugal, etc…
Les montants vont de 9 700 euros (en Autriche) à 400 000 euros (au Portugal). Ces sanctions peuvent faire l’objet d’un recours, ce que fait d’ailleurs Google pour sa condamnation en France par la CNIL.

Au niveau européen, la CNIL est impliquée dans plus de 800 procédures sur les 1 013 en cours d’instruction.

Actuellement, on dénombre plus de 144 000 plaintes et plus de 89 000 notifications de violation de données.

Pour de plus amples informations concernant votre mise en conformité, n’hésitez pas à contacter notre DPO: gdpr@digitec.be

Facebook Commentaire
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de Cookies ou autres traceurs notamment pour réaliser des statistiques de visites ou pour l’analyse des pages vues.Accepter les cookiesGérer mes cookies