Portail des métiers > **NOUVEAU** Conseil RGPD

Qu’est-ce que le RGPD ?

Applicable depuis le 25 mai 2018 à l’ensemble de l’Union Européenne, le Règlement européen sur la Protection des Données (RGPD) renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitants ces données, qu’ils soient ou non établis au sein de l’Union Européenne.

Le règlement impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.

Les modalités de conseil ci-après ont pour objectif d’accompagner le client, en tant que structure gréant des données à caractère personnelles, dans la mise en œuvre de ces nouvelles obligations.

Toute entité manipulant des données personnelles concernant des Européens doit donc se conformer au RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire européen. Un groupe américain, japonais ou chinois qui collecte et traite des données personnelles européennes doit également s’y conformer.

Plus d’informations ? Contactez-nous

 

  • Ouvrir ou FermerLes objectifs du RGPD

    (Article premier du RGPD)

    Le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

    Le règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnel.

    La libre circulation des données à caractère personnel au sein de l’Union n’est ni limité ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

    Un certain nombre de mesures concrètes répondent à 4 objectifs :
    1/ Rehausser le niveau technique et organisationnel des organismes pour donner une protection accrue de la vie privée des personnes ;
    2/ Éliminer les incohérences dans les lois nationales ;
    3/ Mettre à jour la loi pour mieux répondre aux défis de protection de la vie actuelle (réseaux sociaux, données massives, marketing comportemental) ;
    4/ Réduire la charge des coûts administratifs pour les entreprises qui traitent de protection des données avec plusieurs autorités (cela concerne les entreprises travaillant à l’international).

     

    • L’objectif premier vise à établir un constat de l’existant, dans un cadre organisationnel et méthodologique qui aidera à aborder votre conformité au RGPD.
      ZAINDU, holding de la structure ADITU et spécialisée dans la branche conseil informatique, vous propose de faire apparaître :
      –> Une compréhension de l’organisme de l’intérieur
      –> L’analyse des systèmes de flux de données existant (qui accède à quoi ?)
      –> Un investissement de la Direction quant au fait de déterminer les flux (ce qui peut paraître intrusif)
      –> L’étude ou la rédaction d’une politique de la vie privée
      –> La schématisation d’une structure organisationnelle
      –> La classification des données
      –> L’appréciation des risques
      –> Si nécessaire (selon activité professionnelle) : l’analyse d’impact sur la protection des données (PIA)

     

    • L’objectif second est d’être conforme aux exigences du document officiel, applicable au 25 mai 2018. Il s’agit ici d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres de l’UE.
      Le déploiement du RGPD comprendra différentes phases au sein de votre organisation :
      –> Recueillir et prier le consentement des individus
      –> Garantir aux personnes l’accès, la modification, la restitution et l’effacement de leurs données
      –> Garantir la sécurité des données collectées, traitées et stockées par des mesures adaptées
      –> Sécuriser les données contre les risques de perte, de divulgation ou de vol par des moyens adéquats
      –> Documenter toutes les mesures et les procédures de protection
      –> Garder en mémoire que des sanctions en cas de manquement à la mise en conformité existent

     

    • L’objectif troisième se situe dans le maintien de la conformité au travers d’une veille constante spécifique à votre activité.
      L’organisme doit mener une évaluation de ses systèmes et de ses procédures afin d’assurer leur adaptabilité, leur adéquation et leur efficacité de manière continue.
      Il s’agira de :
      –> Déterminer les mesures à surveiller
      –> Quoi surveiller
      –> Quoi mesurer
      –> Quand surveiller, mesurer, analyser et évaluer
      –> Qui va surveiller, mesurer, analyser et évaluer
      –> Adapter les processus de surveillance continus en fonctions des facteurs de changement (organisationnels / technologiques / externes de type législatif, contractuels avec les clients et fournisseurs)
      –> Sensibiliser le personnel de la structure

     

    • L’objectif quatrième et ultime cible le repérage et la notification des violations de données
      La structure se doit de :
      –> Contacter la CNIL et de décrire la violation sous un délai de 72h
      –> Contacter les personnes physiques concernées
      –> Mettre en place des actions correctives en interne et auprès des sous-traitants
      –> Communiquer en interne et en externe

  • Ouvrir ou FermerLes prestations ZAINDU en audit et déploiement du RGPD

    Au travers d’interventions différentes selon le contexte initial de votre organisation, ZAINDU, holding de la société ADITU spécialisée en activité conseil, peut vous aider à déployer les mesures relatives au Règlement.
    Voici quelques exemples, chaque structure étant spécifique.

     

    • Prestation d’approche et de sensibilisation au RGPD
      En amont : prise de connaissance du contexte de l’organisme
      Présentation RGPD et débat sur le site de l’entreprise (durée 3h environ)
      Restitution et livraison de contenus : présentation écrite, texte RGPD, exemples de documentation

     

    • Mise en place expresse du RGPD
      Cartographie des données traitées
      Audit des traitements de données
      Rédaction et transmission des mesures et procédures
      Sensibilisation du DPO désigné
      Simulation de questions CNIL

     

    • Déploiement complet de la conformité
      Cartographie des données traitées
      Audit des traitements de données
      Audit technique du système d’information
      Si obligatoire : création DPIA
      Rédaction et mise en place des procédures
      Création du registre général de données
      Formation du personnel
      Simulation d’audit CNILGestion des réclamations
      Gestion des incidents

     

    • Accompagnement du DPO nommé
      Cartographie des données traitées
      Audit des traitements
      Mise en place des procédures
      Si obligatoire : aide à la création DPIA
      Formation du personnel
      Simulation de questions CNIL

     

    • Suivi du traitement des données pour maintenir et animer la conformité
      Tableau de bord technique : contrôle des accès, du pare-feu, des chiffrements d’appareils portatifs, gestion des accès utilisateurs, gestion des mots de passé avec complexité suffisante et expirations régulières, protection anti-virus supervisée
      Tableau de bord organisationnel : évaluation et formation régulière du personnel / des vendeurs / des fournisseurs, identification des violation et des risques, limitation des accès aux données à caractère personnel (principe du moindre privilège)
      Gestion des incidents
      Gestion des modalités de sécurité physique
      Sensibilisation à la sécurité
      Veille légale sur le secteur d’activité de l’organisme
      Conseil informatique pour optimisation de la sécurité informatique de l’organisme
      Push d’informations pertinentes et relatives au RGPD avec proposition(s) de mise en application concrète(s).