Système de management de la sécurité de l'information

Système de Management des Données et SMSI (ISO 27001)

La mise en place d’un système de management des données personnelles respecte plusieurs articles du règlement RGPD et de la loi informatique et libertés. Voici les différentes étapes proposées :

Nos missions

01.

Cartographie des traitements des données

Recensement des activités principales qui collectent et traitent des données (recrutement, paie, gestion des badges, gestion des clients, gestion des prospects, …).

02.

Analyse de la conformité

Faire le tri et vérifier la conformité par rapport au RGPD et la loi Informatique et Libertés.
Vérifier la sous-traitance des données, prévoir une clause spécifique sur la protection des données personnelles.

03.

Vérification des risques

Si un traitement de données fait apparaitre un risque élevé, obligation d’une Analyse d’Impact sur la Protection des données (PIA)
Vérifications en cas de transfert des données en dehors de l’Union européenne.

04.

Respect des droits des personnes

Informer les personnes
Définir une politique de confidentialité et d’accès à l’information
Répondre aux obligations de transparence
Permettre aux personnes d’exercer facilement leurs droits
Mettre en place un processus pour le traitement des demandes

05.

Sécuriser les données

Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données et des risques.
Protection par mot de passe, sécurisation des accès aux locaux, profils des utilisateurs et habilitations, procédures de sauvegarde et de récupération des données en cas d’incident, …
Définir les modes de communication avec la CNIL en cas de violation des données.

06.

Désignation d’un Délégué à la protection des données (DPO)

Vérification de l’obligation ou non de désigner un DPO.

07.

Définir les procédures

Définir l’ensemble des procédures applicables pour fluidifier la circulation des informations internes et des demandes externes.

Organiser la communication avec la CNIL.

08.

Déployer le système de management des données

Former le personnel à la gestion des données personnelles et leur protection.
Mettre en place le système.
Organiser le suivi, définir l’amélioration.
Intégrer au système Qualité.

Suis-je concerné par le RGPD ?

J'ai anonymisé les données, le RGPD ne me concerne donc pas ?

Effectivement, le RGPD ne s’applique pas aux données anonymisées.

Attention, le RGPD s’applique aux données « pseudonymisées » qui peuvent permettre d’identifier une personne, par un ensemble de recoupements. L’anonymisation suppose que l’identification de la personne soit rendue impossible ou difficile en tenant compte des coûts, du temps nécessaire ou des technologies disponibles.

Je n’ai que des fichiers papier, le RGPD ne me concerne pas ?

Faux, le RGPD s’applique aux traitements en tout ou partie automatisés, mais également aux fichiers qui ne sont pas du tout automatisés, constitués d’un ensemble structuré de données et donc les dossiers papiers.

Je ne communique à mes clients que des newsletters, le RGPD ne me concerne donc pas ?

Faux, au sens du RGPD, la liste de diffusion constitue un traitement de données personnelles . Le client doit donc avoir accepté de recevoir la newsletter et peut à tout moment se retirer de la liste de diffusion.

Les données de prospection sont-elles concernées ?

OUI, la prospection est un traitement de données personnelles qui suppose la possibilité pour la personne concernée de s’y opposer à tout moment.

J'organise que des événements ouverts à mes clients/prospects, je ne suis pas concerné par le RGPD.

Faux, l’organisation d’événements suppose le traitement de données personnelles pour l’organisation et le suivi exemples : newsletters, fichiers clients-prospects, billetterie, invitations nominatives, jeux-concours, …

Les 4 grands principes clés du RGPD

Le consentement
L’article 7 précise que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. »

La transparence
L’article 12 du RGPD précise que les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données. Et donc, ces données doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages « privacy » des sites web.

Le droit des personnes
Exemple de nouveaux droits du Règlement, le droit à l’oubli pour tous les utilisateurs. Suite à une demande, les entreprises n’ont plus qu’un mois (au lieu de deux) pour supprimer les données . Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, par exemple, les transférer à un tiers.

Le principe de responsabilité (accountability)
Il regroupe toutes les mesures qui visent à responsabiliser davantage les entreprises dans le traitement des données à caractère personnel. Les organismes doivent, par exemple, mettre en place des mesures pour garantir la sécurité des données, mais aussi appliquer le « privacy by design », un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. Elles doivent aussi choisir des sous-traitants qui soient conformes au RGPD et aussi désigner un délégué à la protection des données (DPO), chargé de contrôler la conformité de l’organisme avec le RGPD.