Sécurité des données (RGPD) & DPD

Home 9 Services 9 IT Services 9 Sécurité des données (RGPD) & DPD

Règlement général sur la protection des données (RGPD).

Depuis le 25 mai 2018, le RGPD ou le Règlement général sur la protection des données (RGPD) est en vigueur. L’objectif principal de la nouvelle législation sur la protection de la vie privée est de donner aux personnes concernées plus de contrôle sur la manière de laquelle leurs données personnelles sont traitées par les organisations.

La législation impose de nombreuses règles que votre organisation doit suivre dès que des données personnelles sont collectées. Les données personnelles désignent toutes les informations permettant d’identifier une personne : nom, adresse, numéro de téléphone, âge, adresse e-mail, photo, numéro de compte bancaire, rapport médical, etc.

En outre, certaines données à caractère personnel, plus précisément les « données sensibles », ne peuvent être traitées que dans certaines circonstances. Si des données sensibles sont traitées, elles doivent bénéficier d’une protection supplémentaire. Cela concerne, par exemple les données relatives à la race, à l’origine ethnique, aux opinions politiques, aux croyances religieuses ou à l’appartenance syndicale. Les données sur la santé, le comportement sexuel, l’orientation sexuelle ou les condamnations pénales appartiennent également à cette catégorie.

En d’autres termes, l’impact de la législation sur votre organisation est principalement déterminé par la mesure dans laquelle les données personnelles sont traitées (collecte, structuration, stockage, modification, consultation, transmission, diffusion ou effacement des données personnelles).

DPO As-a-Service

Certaines organisations doivent ou souhaitent faire appel à un Data Protection Officer (DPO), également connu sous le nom de délégué à la protection des données (DPD). Le DPD supervise l’application et le respect de la législation RGPD. Le DPD doit être indépendant et est pour ce motif souvent externalisé.

Que se passe-t-il si je ne suis pas conforme au RGPD ?

Les organisations qui ne se conforment pas au RGPD peuvent être condamnées à une amende allant jusqu’à 4% du chiffre d’affaires mondial, avec un maximum de 20 millions d’euros. En plus des conséquences financières, la réputation de votre organisation peut également être sérieusement ébranlée.

C’est l’Autorité de protection des données (APD) qui, en tant qu’organisme indépendant, veille au respect correct des principes fondamentaux de la protection des données à caractère personnel.

Une solution à l’échelle de l’organisation

La confidentialité des données n’est pas une histoire exclusivement juridique, mais doit être abordée à l’échelle de l’organisation avec non seulement l’attention nécessaire à la sécurité de vos données critiques (et donc aussi des données personnelles), mais aussi aux procédures entourant le traitement de ces données et à la sensibilisation, aux connaissances et à l’expertise nécessaires de vos employés.

Prenons un exemple simple : votre service RH collecte des données personnelles et vous stockez ces données sur un serveur local ou dans un environnement « Cloud ». La législation exige, entre autres, que vous communiquiez de manière transparente pourquoi vous conservez certaines données et que vous ne puissiez pas traiter plus d’informations que nécessaire. Lors du traitement de ces données, vous devez installer les mesures de sécurité nécessaires pour éviter la fuite de données. Si un incident devait néanmoins se produire, vous devez disposer des procédures correctes pour pouvoir informer en temps utile les parties concernées et les autorités. Les employés doivent être suffisamment conscients du faut que pas toutes les données personnelles ne peuvent être traitées sans plus. Également les procédures pour agir de façon adéquate en cas de fuite de données doivent être suffisamment connues par les employés.

Étapes importantes de la sécurité des données

La simplicité de l’exemple ci-dessus montre clairement pourquoi une approche à l’échelle de l’organisation est nécessaire et quelles étapes sont à franchir:

1. Informer
Informez les personnes clés de votre organisation sur les règles relatives au traitement des données à caractère personnel.

2. Inventariser
Le RGPD demande à votre entreprise de mettre en place un registre des activités de traitement. Faites l’inventaire de vos données personnelles et enregistrez les processus de traitement de ces données :

  • Quelles données sont stockées (nom, adresse, âge,..) ?
  • D’où proviennent ces données ?
  • À quelle fin ces données-elles employées ?
  • Où ces données sont-elles stockées et pendant combien de temps ?
  • Avec qui ces données sont-elles partagées ?

3. Évaluer les mesures
Sur la base de l’inventaire, vous pouvez ensuite vérifier si des mesures de sécurité suffisantes sont prises pour éviter des fuites de données.

Un aspect important ici sont les mesures de sécurité informatique qui doivent être évaluées. En d’autres termes : les données sont-elles suffisamment sécurisées ?

Vérifiez également si vous devez effectuer une analyse d’impact sur la protection des données (AIPD / DPIA). C’est le cas si un traitement de données est susceptible de présenter un risque élevé pour la vie privée des personnes concernées dont les données sont traitées au sein de votre organisation.

D’autres questions qui se posent :

  • Traitons-nous uniquement les données nécessaires ?
  • Avons-nous un fondement juridique pour traiter les données ?
  • Les données ne sont-elles pas conservées trop longtemps aux fins auxquelles elles sont traitées?
  • Les personnes concernées sont-elles suffisamment informées à ce sujet ?

Ensuite, identifiez également les mesures nécessaires qui doivent encore être prises pour faire face à certains risques de sécurité.

4. Procédures
Le RGPD impose à votre organisation de disposer des procédures qui répondent aux droits que les personnes concernées peuvent invoquer. Cela comprend le traitement des demandes d’accès aux données personnelles, la communication électronique des données, la suppression des données, etc., ainsi que les procédures d’identification, d’enquête et de signalement des violations de données.

Comment aider ?

Une approche à l’échelle de l’organisation nécessite également une approche multidisciplinaire. Nos équipes sont donc toujours composées d’experts en sécurité informatique et en confidentialité des données.

  • Audit RGPD : il s’agit plutôt d’une « mise à jour » dans laquelle la situation actuelle est cartographiée et dans laquelle il est évalué si l’organisation est (non) conforme à la législation RGPD. Sur la base de l’audit, des recommandations concrètes sont formulées pour combler les lacunes en matière de conformité.
  • Délégué à la protection des données (DPD) : entièrement externalisé ou une fonction à l’appui du DPD interne.
  • Analyse d’impact sur la protection des données (AIPD) : nous vous conseillons si une AIPD est recommandée ou non et nous vous aidons à la réaliser.
  • Mise en œuvre du RGPD : nous vous accompagnons dans l’élaboration d’un plan d’approche avec des actions et des projets à mettre en conformité avec le RGPD. Nous pouvons également vous accompagner dans la mise en œuvre des mesures de contrôle (organisatrices, IT-techniques, juridiques).

 

Votre expert

gorik van den bergh
Gorik Van den Bergh

Actualité