Laurent Abric

RGPD ou GDPR : Une opportunité d’évolution du Système d’Information des entreprises

Comme vous le savez, le Règlement Général sur la Protection des Données (General Data Protection Regulation en anglais) est entré en vigueur depuis le 25 mai 2018. Ce nouveau règlement à l’échelle européenne peut être vu comme une évolution de la loi française du 6 janvier 1978 relative à l’informatique et aux libertés. (Les détails : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee ).

Il ajoute à cette loi notamment le renforcement des droits des personnes, le Privacy by Design, l’encadrement des transferts de données en dehors de l’Union Européenne, la responsabilisation des sous-traitants et surtout l’obligation de rendre des comptes pour les responsables de traitements (principe d’accountability).
Dernier point non négligeable, les sanctions ont été alourdies et peuvent aller jusqu’à 4% du Chiffre d’Affaire du groupe auquel est rattachée l’entreprise contrôlée.
Ce règlement impose aux entreprises publiques ou privées de maitriser leurs données personnelles, tant pour les clients que pour les salariés.

Une multitude de (nouvelles) questions à traiter pour les entreprises
  • Où sont stockées les données personnelles ?
  • Quelles sont les durées de stockage des données personnelles ?
  • Où se trouve leur lieu de stockage ?
  • Est-ce que ce lieu de stockage est dans l’Union Européenne ?
  • Pourquoi les données personnelles ont-elles été collectées ?
  • Comment sont-elles protégées ?
  • Qui peut accéder aux données personnelles et dans quel but ?
  • Ai-je recueilli les consentements des personnes concernées ?
  • Puis-je supprimer des données personnelles à la demande des personnes concernées ?
  • Les personnes concernées peuvent-elles modifier leurs données personnelles ?
  • Est-ce qu’on a besoin d’en collecter autant ?
  • Etc …

Autant de questions auxquelles toutes les entreprises ne savaient pas forcément répondre avant le 25 Mai 2018, alors que certaines étaient déjà posées depuis la loi de 1978. Mais toutes les entreprises doivent maintenant être en mesure d’apporter une réponse à l’autorité de contrôle (La CNIL en France).
En effet les premières sanctions commencent à tomber. Même pour Google qui vient de prendre une sanction record de 50 millions d’euros ( https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la ).

Comment se préparer à répondre aux questions ?

Pour démarrer un projet de mise en conformité RGPD, la première étape consistera à faire une analyse d’écart (ou gap analysis) entre le Système d’information de l’entreprise et le RGPD. Celle-ci vous permettra de générer un plan d’actions pour tracer le chemin vers la conformité RGPD.

Cette analyse d’écart va vous obliger à faire des PIA (Privacy Impact Assessment – analyse d’impact sur la vie privée, ou Analyse d’Impact relative à la Protection des Données – Data Protection Impact Assessment – AIPD ou DPIA) si vous traitez des données sensibles ou si le traitement engendre des risques élevés sur les droits des personnes.
La CNIL fournit gratuitement un outil pour faire des PIA :   https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
La définition des données sensibles se trouve dans l’article 9 : https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre2#Article9 .

Si vous traitez des données personnelles, le plan d’actions contiendra a minima :

Plus qu'un projet de sécurité, une véritable opportunité de transformation

Ce projet est un vrai projet d’entreprise qui va impacter tout le SI et le fera évoluer pour devenir « data-centric ». Ainsi, la sécurisation et la gestion des données personnelles sont une réelle opportunité de faire évoluer l’entreprise, la connaissance et la maîtrise des données business qui étaient souvent peu connnues et exploitées.

Si vous avez besoin d’aide pour mener à bien ce projet, nos consultants experts sauront vous aider à converger vers la conformité RGDP.

Articles associés

L’Analyse d’Impact du Transfert des données personnelles hors UE

31 mai 2021
L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données […]

Privacy Shield versus La Cour Européenne de Justice

31 mars 2021
En Juillet 2020, La Cour de Justice Européenne s’est prononcée sur un accord majeur concernant le transfert de données de citoyens européens vers les États-Unis. Ainsi, la Cour de Justice de l’Union Européenne (CJUE) a invalidé sa décision 2016/1250 sur l’adéquation de la protection fournie par le cadre du Privacy Shield EU-US. Le Privacy Shield […]
Partager cet article
Derniers articles

L’Analyse d’Impact du Transfert des données personnelles hors UE

L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données […]

Privacy Shield versus La Cour Européenne de Justice

En Juillet 2020, La Cour de Justice Européenne s’est prononcée sur un accord majeur concernant le transfert de données de citoyens européens vers les États-Unis. Ainsi, la Cour de Justice de l’Union Européenne (CJUE) a invalidé sa décision 2016/1250 sur l’adéquation de la protection fournie par le cadre du Privacy Shield EU-US. Le Privacy Shield […]

Plan de reprise d’activité, ça n’arrive pas qu’aux autres !

L’incident survenu chez OVH début mars a rappelé à beaucoup qu’un Datacenter n’était pas éternel. Pour rappel, un incendie a détruit un ensemble de salles, et par effet de bord, les autres salles ont dû être éteintes plusieurs jours, pour sécuriser l’opération des pompiers dans un premier temps, et ensuite le temps de reconstruire les […]

LE ou LA Wifi ? On ne sait pas trop mais c’est déjà la version 6

Comme vous l’aurez deviné, on ne va pas discuter ici de l’importance d’utiliser le pronom masculin ou féminin pour l’acronyme wifi, mais bien de cette “version 6” qui chamboule tout – à commencer par sa nomenclature. Les puristes amateurs de l’apprentissage par cœur des références de RFC telles que les classiques 1145 ou 2549 (sacrés pigeons […]