Le Règlement Général sur la Protection des Données RGPD (en anglais « General Data Protection Regulation » ou GDPR) implique la mise en place de nouvelles procédures pour toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, établie sur le territoire de l’Union européenne ou ciblant directement des résidents européens. Depuis le 25 Mai 2018, son application est obligatoire. Cette nouvelle réglementation européenne renforce les droits des citoyens et impose certaines obligations sur la protection des données personnelles.
Important
Grâce à Microsoft 365 et Azure, vous disposez d’une multitude d’outils pour répondre aux obligations imposées par la RGPD.
> En savoir plus
Voici la liste des 6 étapes à respecter pour être conforme au RGPD !
L’application du RGPD entraine la disparition de nombreuses formalités déjà présentes auprès de la CNIL. Non le RGPD n’est pas un big bang car il existait donc déjà une certaine régulation sur les données personnelles. Cependant il est essentiel de bien comprendre les bases de ce nouveau règlement européen sur la protection des données pour partir du bon pied et éviter une confusion générale.
La responsabilité des organisations et entreprises sur les données privées est renforcée avec le RGPD. Il sera donc nécessaire de déployer une gestion raisonnée des données, d’assurer une protection optimale de ces données et être en mesure de le démontrer en documentant votre conformité.
La gouvernance des données personnelles de votre organisation doit être centralisée auprès d’un personnage central : le DPO, le délégué à la protection des données. Ce DPO agit comme responsable du RGPD dans le sens où il a une mission d’information, de conseil et de contrôles avec tous vos collaborateurs en interne. Il est impératif de réaliser un comité de consultation et de prise de décision sur le RGPD dont le DPO sera bien évidemment une pierre centrale.
La désignation d’un délégué à la protection des données DPO n’est pas une obligation légale mais elle est fortement recommandée pour des structures de plus de 50 collaborateurs dont la gestion du RGPD est essentielle. Cette personne s’assure donc de la mise en conformité au RGPD. Votre délégué sera une pierre centrale pour assimiler et respecter les obligations de ce nouveau règlement européen. Il pourra ainsi dialoguer de manière sereine avec les autorités de régulation des traitements et ainsi diminuer les risques de non conformité.
Le délégué à la protection des données possède plusieurs missions principales, à savoir :
Le délégué à la protection des données personnelles se doit donc de pouvoir s’informer sur les nouvelles obligations, de se former à la méthodologie de mise en conformité et évaluation de celle-ci, de réaliser un inventaire des traitements des données personnelles et de sensibiliser les responsables de chaque pôle pour mettre en place des actions efficaces.
Recenser de manière précise tous les traitements de données personnelles réalisées par votre entreprise est un des premiers chantiers à réaliser pour le DPO. Pour récapituler tous ces traitements de données réalisés en interne, il est nécessaire de réaliser un registre des traitements pour être transparent sur ce sujet.
Les entreprises devront donc à l’avenir tenir une documentation complète interne sur les traitements des données personnelles ayant lieu dans leur périmètre d’activité. L’idée est de pouvoir identifier les traitements, de connaitre les sous-traitants intervenant sur ces traitements et de s’assurer que ces traitements respectent les obligations du RGPD.
Pour résumer, il sera donc nécessaire de recenser ces différents points :
Chacun de ces traitements de données poussent donc à se poser de multiples questions :
Après avoir désigné un responsable et listé les traitements des données dans l’entreprise et auprès des sous-traitants, il est nécessaire de mettre en place des actions de conformité au RGPD. Il est nécessaire de prioriser les chantiers en fonction des risques que les traitements font peser sur les droits et libertés des personnes.
Pour cela, voici une liste des points sur lesquels il est nécessaire de se pencher :
Certaines catégories de données nécessitent une attention spécifique car elles sont considérées comme plus sensibles : données relevant de l’origine ethnique, des convictions religieuses ou politiques et philosophiques, sur la santé, génétiques ou biométriques, tout ce qui touche aux mineurs, concernant les infractions pénales et sur l’orientation sexuelle.
Dans le cas où vos traitements impliquent l’hébergement ou le transit des données hors de l’Union Européenne, certaines mesures supplémentaires s’appliquent :
Une fois les différents traitements de données identifiés et organisés en fonction des risques plus ou moins élevés pour les droits et libertés des personnes, il faudra réaliser une analyse d’impact pour les données sensibles. Cet analyse d’impact sur la protection des données personnelles (PIA, Privacy Impact Assesment) conditionnera les futurs traitements de ces données.
Elle se présente sous la forme d’une étude visant à définir des traitements de données respectant la vie privée des personnes. Cette étude est essentielles car elle garantit une bonne partie de la conformité RGPD de votre entreprise.
Le PIA est construit sous forme d’outil d’évaluation avec 2 axes principaux :
L’analyse d’impact PIA doit contenir :
Le PIA est à réaliser avant toute mise en place de traitements de données. Les analyses d’impact se doivent d’être revues régulièrement pour pouvoir corriger les mesures mises en place, notamment en cas de changements majeurs sur l’exécution des traitements (changement de sous-traitant par exemple si celui est concerné par le PIA).
Le PIA est obligatoire pour tous les traitements engendrant des risques élevés pour les droits et libertés des personnes donc dès lors qu’un traitement touche à des données sensibles (article 35 RGPD). Une liste de critères d’évaluation a été défini pour déterminer si un PIA est obligatoire sur un traitement, les 9 critères du PIA ont été définis dans les lignes obligatoires du G29. Si votre traitement regroupe 2 critères minimum alors il est nécessaire de réaliser un PIA.
Mettre en place des procédures internes pour garantir un haut niveau de protection des données est un point essentiel pour assurer sa bonne conformité au RGPD. Il est nécessaire de prendre en compte un ensemble d’évènements ayant un impact sur les traitements identifiés. Ces évènements et risques sont de diverses natures : accès aux données, failles de sécurité, gérer les demandes de rectification, changements sous-traitants, etc.
Pour organiser vos processus en interne, il est donc nécessaire de :
Un service de télécommunication des notifications de violations des données personnelles devrait être disponible d’ici Mai 2018 sur le site de la CNIL. En attendant voici le formulaire à remplir en cas de violation des données.
Documenter sa conformité est une des étapes clés pour respecter le RGPD. Il est donc nécessaire de constituer et rassembler tous les différents éléments évoqués dans notre article. Ce dossier doit être réévaluer et actualiser de manière régulière pour suivre la vie des traitements et toutes modifications qui pourraient intervenir.
Documents sur les traitements des données personnelles :
Informer les personnes propriétaires des données personnelles traitées :
Contrats définissant les rôles et responsabilités des acteurs :
Une fois toutes ces étapes remplies, votre dossier documentaire démontre votre conformité au RGPD ! Si vous souhaitez aller plus loin dans l’analyse de votre sécurité informatique pour empêcher toutes intrusions et attaques informatiques, nous pouvons vous accompagner dans un audit de sécurité informatique.
Notre équipe fait tous les jours face aux problématiques de sécurisation des accès et protection des données, Openhost possède donc une expérience riche en la matière que nous serons ravi de partager en vous accompagnant sur vos projets !
Important Cet article fait la promotion d’Hosted Exchange 2013, un produit qui n’est plus commercialisé par Openhost. Nous préconisons désormais Exchange Online. En savoir plus Pour notre dixième vidéo sur notre nouvelle plateforme EX13 dédiée à notre plateforme Hosted Exchange 2013, nous vous proposons une session live de 4 minutes où vous allez découvrir comment […]
Lire la suiteMicrosoft a récemment annoncé le retrait de la fonctionnalité DLP Exchange Online disponible dans le centre d’administration Exchange. C’est ainsi le Centre de conformité Microsoft 365 qui le remplacera en offrant une fonctionnalité DLP beaucoup plus riche, incluant Exchange Online DLP. Elle permet d’étendre votre protection à d’autres emplacements que [...]
Lire la suiteLe 26 janvier, Microsoft a annoncé la première Technical Preview d’Azure Stack, sa nouvelle plateforme de cloud hybride. Succédant à l’Azure Pack, Azure Stack prend une nouvelle direction en offrant la possibilité aux entreprises de posséder leur propre version d’Azure On-Premise. Azure Stack est disponible pour déployer votre plateforme Cloud hybride ! Chez Openhost, nous […]
Lire la suite