Le règlement Général pour la Protection des données (RGPD) vise à renforcer les droits des citoyens Européens concernant la gestion de leurs données personnelles.
Voté en avril 2016, il s’applique le 25 mai 2018, pour toutes les organisations du secteur privé et public qui collectent, traitent, stockent des données à caractère personnel.
Par données personnelles on entend toute information qui permet d’identifier directement ou indirectement une personne physique : nom, adresse mail, tel, adresse ip etc. Cela concerne aussi bien les informations de vos clients, fournisseurs, prospects, que celles de vos employés, partenaires etc.
Les principes relatifs aux traitements des données sont précisés à l’article 5 du RGPD : traitées de manière licite, collectées pour des finalités déterminées, adéquates, pertinentes et limitées à ce qui est nécessaires au regard des finalités, exactes et tenues à jour, conservées…pendant une durée n’excédant pas celle nécessaire au regard des finalités, traitées de façon à garantir une sécurité appropriée. Le responsable du traitement (en l’occurrence bien souvent le chef d’entreprise) est responsable du respect de ces principes et sera en mesure de démontrer que celui-ci est respecté.
Le règlement introduit le principe d’accountability qui « désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. » (définition CNIL).
Le RGPD précise dans les articles 32, 33 et 34 les obligations des organisations concernant la sécurité des données et l’obligation de signifier à l’autorité de contrôle (CNIL) sous 72 heures toute violation de données. Quand on connait la multiplication des attaques cybercriminelles depuis ces dernières années, on mesure l’importance de renforcer son arsenal sécuritaire afin d’éviter les risques de vol, perte ou demande de rançon. (ransomware). Lorsqu’une violation de données est susceptible d’engendrer un risque élevé d’une personne physique, le responsable de traitement devra communiquer l’information à la personne concernée dans les meilleurs délais.
D’autres notions comme le privacy by design / by default, les analyses d’impact sur la vie privée (EIVP) le droit à la portabilité implique une remise en question profonde de l’organisation de l’entreprise et de ses process de gestion des données depuis leur collecte, leurs traitements jusqu’aux durées de conservation et des procédures de sécurisation.
Notre cabinet vous apporte son expertise dans :
Le conseil à la mise en place du RGPD (audit de maturité RGPD, accompagnement)
La formation inter ou intra entreprise
L’externalisation des missions de votre DPO en cas d’obligation
L’audit de sécurité et la mise en place des solutions préventives et curatives (plan de reprise ou de continuité d’activité PRA/PCA)