La conformation au Règlement Général concernant la Protection des Données sera obligatoire le 25 mai 2018.

Qui est concerné?

Toute entreprise ou entité, quelle que soit sa taille, qui réalise de la collecte de données, qui utilise des données personnelles, les archive, les traite dans une finalité commerciale ou dans le but d’étude et de suivi du comportement.

Une histoire de données…

Les données à caractère personnel sont notamment concernées, mais de quoi parle-t-on?

  • Données d’identification (numéro de tél, adresse,CNI…)
  • Données de localisation (géolocalisation, GPS,…)
  • Données sensibles (orientation sexuelle, santé,…)
  • Données financières et bancaires (salaires, IBAN,…)
  • Données professionnelles (mail pro, compétences,…)
  • Vie personnelle (situation familiale)
  • Informations de login (IP, Cookies,…)
  • Profil internet (Réseaux sociaux,…)

Naturellement les données peuvent concerner plusieurs personnes (client, prospect, fournisseur, grand public, collaborateur, sous-traitant, actionnaire,…)

Et le citoyen? Ça lui sert à quoi?

  • Accéder à ses données et la confirmation qu’elles sont traitées ou non
  • Rectifier et/ou compléter ses données
  • Effacer ou les oublier
  • S’opposer à tout moment au traitement et à l’utilisation de ses données
  • Savoir comment les données sont traitées

Globalement voici quelques étapes incontournables:

La mise en place d’un DPO (Data Privacy Officer) chargé de la mise en application de la politique de sécurisation des données au sein de l’entité.

La mise en place de procédures et process de collecte et de traitements. Pour cela, un registre de traitements devra être renseigné. (La CNIL propose ce type de document ici)

Réaliser une analyse des risques en matière de protection des données. Là aussi, la CNIL propose un outil (accessible en cliquant sur l’image ci-dessous)

PIA Cnil

S’assurer de garantir la sécurité des systèmes d’informations en mettant en place des restrictions d’accès et en utilisant les procédés de chiffrement. En bref, tout mettre en place pour éviter la perte volontaire, ou non, la détérioration, la perte d’intégrité des données à caractère personnel.

Mettre en place une sensibilisation régulière en apportant les informations nécessaires relatives aux menaces actuelles, aux évolutions normatives, à ‘utilisation des données, mais également en sensibilisant sur la nécessité de se conformer aux règles et en présentant les répercussions potentielles en cas de non respect de ces dernières.

Le texte de cette règlementation est disponible ici

rgpd texte

Nous en avions déjà parlé:

https://alsaperfo.wordpress.com/2017/01/29/gdpr-general-data-protection-regulation-echeance-mai-2018/

https://alsaperfo.wordpress.com/2017/04/22/general-data-protection-regulation-quelques-liens/