UNE FOIS LE RGPD ENTRÉ EN APPLICATION, LES ENTREPRISES DEVRONT DÉMONTRER QUE :

Les données personnelles collectées sont
dûment autorisées par la partie concernée.
Les données personnelles
sont sûres et protégées.
Ils ont le contrôle et la gouvernance
appropriés des données.
Les données sont utilisées de manière
transparente, appropriée, juste et admissible.
Des mesures sont prises pour minimiser les erreurs et corriger les inexactitudes de données.
Ils peuvent répondre de manière
adéquate en cas de non-conformité.

ÊTES-VOUS EN CONFORMITÉ AVEC LE RGPD ?

Vous ne savez pas si votre entreprise est en conformité avec ce nouveau règlement ? Faites votre état des lieux en 10 questions et bénéficiez d’un accompagnement personnalisé !

 

QU’EST-CE QUE LE RGPD ?

Le RGPD ou Règlement Général sur la Protection des Données personnelles, aussi appelé General Data Protection Regulation (GDPR), est le nouveau règlement européen relatif à la protection des données à caractère personnel. Il remplace les lois existantes dans chaque pays membre et introduit de nouvelles obligations et restrictions pour toutes les sociétés.

Le 25 mai 2018, toute entreprise (européenne et étrangère) devra être en mesure de prouver à n’importe quel moment, que les données à caractère personnel des citoyens de l’Union Européenne, ou des citoyens de nationalités étrangères résidants sur le sol de l’Union Européenne, qu’elle détient (IBAN, numéros de téléphone, identifiants, données biométriques, enregistrements vidéo, relevés de compteurs d’eau, …) sont protégées et surtout inexploitables en cas de vol.

Image Description

COMMENT SE METTRE EN CONFORMITÉ ?

Ce nouveau règlement impose de nouvelles responsabilités aux entreprises pour garantir la transparence et la sécurité des citoyens européens dans l'utilisation de leurs données. Pour se conformer à cette réglementation, les entreprises doivent donc prendre le contrôle des informations qu'elles gèrent.

ÉTAPES DE MISE EN CONFORMITÉ

  • IDENTIFIER LES DONNÉES SENSIBLES STOCKÉES DANS L’ENTREPRISE

    Des données à caractère personnel peuvent être présentes dans l’ERP, le CRM, le système de paie, l’Active Directory, les fichiers bureautiques, etc.

    Il convient donc de mener un audit des données et des traitements. On ne peut en effet sécuriser que ce qui a été identifié. Les données les plus sensibles doivent faire l’objet d’une attention particulière (données bancaires, biométriques, syndicales, …), et de mesures de protection spécifiques (chiffrement, …).

    Les droits d’accès aux données personnelles doivent aussi être audités.

  • GARANTIR LE DROIT DES PERSONNES

    L’entreprise doit pouvoir apporter la preuve qu’elle a obtenu le consentement explicite des individus concernés par le traitement (ou d’un responsable légal pour les enfants de moins de 16 ans). De plus, le droit à l’oubli impose que le responsable du traitement supprime les données personnelles des individus qui en font la demande dans un délai fixé. En outre, la portabilité impose que ses données personnelles puissent être transmises à un individu qui en fait la demande, dans un format lisible et structuré.

    Ceci impose la mise en œuvre de procédures et de solutions techniques spécifiques.

  • REDIGER UNE CHARTE DES BONNES PRATIQUES

    Cette charte, annexée au règlement intérieur, devra :

    • Rappeler aux collaborateurs les bonnes pratiques et les sanctions encourues en cas de non-respect de la loi. Par exemple, l’interdiction d’accéder ou de supprimer des informations ne relevant pas de sa fonction ou encore d’enregistrer des données sur support externe sans l’accord de sa hiérarchie.
    • Rappeler l’obligation de respecter les règles de sécurité définies par le service informatique.
  • REVOIR LES CONTRATS FOURNISSEURS

    Le règlement instaure un principe de coresponsabilité entre l’entreprise et ses sous-traitants. Aussi, le responsable du traitement (ex : directeur marketing pour une base prospects) doit s’assurer que ses partenaires (ex : société de télémarketing externe) ses sont bien engagés sur la voie de la conformité en insérant des clauses contractuelles rappelant les nouvelles obligations du GDPR. Une clause d’audit peut être prévue.

  • SE PREPARER AU PIRE

    Malgré toutes les procédures et les solutions techniques de sécurisation, la sécurité à 100% n’existe pas. Il est donc nécessaire de mettre en place une procédure d’escalade en cas de violation des données à caractère personnel détenues, notamment une communication de crise et d’information. Le responsable du traitement doit notifier la CNIL dans les 72h à compter de l’identification d’une faille de sécurité. Il doit aussi avertir dans les meilleurs délais les individus concernés par la fuite de données, si celle-ci représente un risque élevé pour leurs droits et libertés (identifiants, numéros de cartes de crédit…).

  • NOTIFICATION A LA CNIL

    Cette notification doit comporter a minima les éléments suivants :

    • La nature de la fuite de données personnelles ainsi que la nature et la quantité de données concernées,
    • Le contact DPO,
    • Une description des conséquences prévisibles de la fuite de données,
    • Un descriptif des moyens mis en œuvre pour stopper la fuite de données et/ou en atténuer les conséquences,
    • Ces informations peuvent être communiquées de façon différée si elles ne sont pas toutes disponibles dans les 72h.

JE SUIS UNE ENTREPRISE DE MOINS DE 250 SALARIÉS

Je suis soumis à ce règlement, mais des formalités allégées sont prévues, si je ne suis pas une entreprise publique ou que je ne manipule pas de données à grande échelle ou sensibles.

Dispense de tenue du registre des traitements .
Dispense de nommer un DPO

COMMENT PRODWARE VOUS AIDE À RESPECTER LE RGPD ?

TECHNOLOGIE

La conformité RGPD provient de l'utilisation de technologies garantissant la sécurité et les niveaux de protection des données requis.

EXPÉRIENCE

Microsoft a été la première entreprise à adapter ses solutions cloud aux exigences RGPD. Les produits cloud tels que Office 365, Azure, Dynamics, Windows 10, disposent déjà de services de sécurité et de protection des données conformes aux normes et aux certificats les plus stricts au monde.

CONSEIL

En tant que partenaires Microsoft, nos professionnels proposent aux entreprises des solutions de pointe ainsi qu’une expertise produit. Grâce à une analyse de la situation de chaque entreprise, nous serons en mesure de détecter les points à risque pour la conformité réglementaire et de fournir les solutions qui correspondent le mieux au profil de chaque organisation.

SUPPORT PROFESSIONNEL

Afin de se conformer au RGPD, chaque entreprise aura des besoins spécifiques en fonction de sa nature et de son secteur. Avoir un soutien professionnel sera essentiel pour adopter le règlement et assurer une conformité continue.

SOLUTIONS PROPOSÉES POUR VOTRE MISE EN CONFORMITÉ RGPD

Cloud collaboratives

MICROSOFT OFFICE 365

Office 365 vous permet de travailler en tout lieu, à tout moment, sur tous les appareils. Cette solution vous permet d’assurer intelligemment la conformité de votre entreprise et de protéger vos données grâce aux solutions intégrées pour la eDiscovery, la gouvernance des données et l’audit.

MICROSOFT DYNAMICS

Gérez les contacts et les autorisations via le panneau de configuration de Microsoft Dynamics et garantissez ainsi la confidentialité des données. Identifiez et extrayez des informations de manière simple et générez des rapports pour vérifier l'état des données.

MICROSOFT AZURE

Microsoft Azure aide les entreprises à identifier et cataloguer les données personnelles dans les systèmes, et à créer des environnements plus sécurisés. Vous pourrez identifier les données au sein de votre entreprise avec Azure Data Catalog, gérer les identités et contrôler les accès avec Azure Active Directory, surveiller l'état de vos systèmes avec Azure Security Center, et assurer la confidentialité des données avec le cryptage des données et Azure Key Vault. Vous pourrez aussi auditer, analyser et suivre vos systèmes avec les capacités de journalisation et d'audit d’Azure.

DROPBOX

De par sa conception, Dropbox intègre plusieurs niveaux de protection répartis sur une infrastructure évolutive et sécurisée. Dropbox for Business est l'un des premiers grands fournisseurs de services de cloud à avoir obtenu la certification ISO 27018 - une norme mondiale pour la confidentialité et la protection des données dans le cloud. Cette solution vous permet également de disposer pendant 120 jours des versions précédentes de chaque fichier (nombre de versions illimité), ce qui permet de s’affranchir des ransomwares.

Sécurité

FIREWALLS ET REVERSE-PROXY

 

Découvrez et bénéficiez de trois solutions firewalls (routage, protection contre les intrusions, analyse antivirus des flux, contrôle de contenu, contrôle applicatif) et reverse-proxy au choix : Stormshield, SonicWall et Denyall.

ANTISPAM ET ARCHIVAGE DE MESSAGERIE

Profitez de trois solutions au choix dont le rôle est l’analyse antivirus et l’antispam des flux de messagerie : Cybonet, Barracuda et ASPamFilter. La solution Barracuda vous offre aussi la possibilité de faire de l’archivage de messagerie.

ANTIVIRUS

Découvrez et bénéficiez de Trend Micro, la solution qui offre aux entreprises une protection contre les spams, les virus et les logiciels malveillants. Vos collaborateurs et votre société pourront ainsi évoluer sans risque dans la vie numérique.

Protection des terminaux mobiles et des supports de stockage

MICROSOFT INTUNE

Microsoft Intune vous offre un ensemble divers d'outils pour gérer un environnement mobile complexe. La combinaison innovante de gestion des applications mobiles et de gestion des options des appareils vous donne de la flexibilité dans la façon dont vous gérez et sécurisez la productivité mobile.

MOBILEIRON

MobileIron vous offre la visibilité indispensable et les commandes informatiques requises pour sécuriser, gérer et surveiller les appareils mobiles et ordinateurs, personnels ou détenus par l'entreprise, qui accèdent aux données professionnelles critiques.

Médias amovibles chiffrées

DATALOCKER

DataLocker est un constructeur de solutions de chiffrage de données pour les gouvernements, les armées et les entreprises du monde entier. DataLocker vous offre une protection absolue pour vos données numériques. Aucune récupération de vos fichiers n’est possible en cas de perte, de vol ou de piratage.

WINDOWS 10 BITLOCKER

Windows 10 BitLocker est une fonctionnalité de protection des données intégrée au système d’exploitation Windows. Il vous permet de protéger vos données par chiffrement. En effet, seule une personne possédant la bonne clé de chiffrement (comme un mot de passe) pourra déchiffrer et lire les données.

Audit de vulnérabilité

DENYALL

Parce qu’il est nécessaire d’identifier les faiblesses d’une infrastructure pour pouvoir la sécuriser, nous proposons un service d’audit de vulnérabilités en nous appuyant sur les sondes de notre partenaire DenyAll : mots de passe faibles, failles de sécurité non patchées, ports inutilement ouverts sur les firewalls, etc.

POUR ALLER PLUS LOIN : NOS SERVICES DE CONSULTING

Si le traitement de données personnelles est au cœur de votre activité et que vous souhaitez un accompagnement personnalisé pour votre mise en conformité avec le RGPD, notre équipe Business Consulting est à votre service.

 

En savoir plus

VOUS SOUHAITEZ ÉCHANGER AUTOUR DU RGPD ?

Nous sommes prêts à vous accompagner.
En renseignant vos coordonnées vous serez mis en relation avec un de nos conseillers. Nous pourrons alors réaliser un état des lieux de votre situation et vous suggérer le meilleur plan d’actions pour être conforme avec le RGPD.

En cochant cette case, vous acceptez que Prodware collecte et utilise les informations que avez renseignées pour vous recontacter et vous envoyer des offres marketing personnalisées en accord avec notre politique de protection des données.
Conditions générales Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Prodware pour la gestion de son fichier clients et prospects. Elles seront conservées pendant 3 ans et sont destinées au service marketing et au service commercial. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant en adressant un email à : cil@prodware.fr

POUR EN SAVOIR PLUS : 11 IDÉES REÇUES SUR LE RGPD

Découvrez le décryptage de Jean-Noël Wintergerst, correspondant Informatique & Libertés du groupe Prodware.

FAQ

  • Le RGPD a été approuvé et adopté par le Parlement européen en avril 2016. Le règlement entrera en application après une période de transition de deux ans. Les lois locales devront être adaptées avant le 25 mai pour être en conformité avec le GDPR, ceci est particulièrement vrai pour notre loi nationale, la loi informatique et libertés. Les entreprises ont eu deux ans pour se préparer.

  • Le RGPD s'applique non seulement aux organisations situées dans l'Union Européenne, mais il s'applique également aux organisations situées en dehors de l'UE, si elles proposent des biens ou des services, ou traitent des données de ressortissants de l’UE. Il s'applique donc à toutes les sociétés qui traitent et conservent les données personnelles de sujets résidants dans l'Union Européenne, quel que soit l'emplacement de l'entreprise.

  • Les organisations peuvent être condamnées pour violation du RGPD à une amende pouvant aller jusqu’à 20 millions d'euros ou 4% du chiffre d'affaires global annuel, si son Chiffre d’Affaires est supérieur à 500 millions d’euros. Il s’agit de l’amende maximale pouvant être imposée pour les infractions les plus graves, par exemple, ne pas avoir obtenu le consentement du client pour traiter ses données. Il existe une approche progressive des amendes. Une entreprise peut notamment être condamnée à une amende de 2% pour ne pas avoir mis sa documentation à jour (article 28), ne pas avoir informé l'autorité de surveillance ainsi que la personne concernée d'une fuite de données, ou ne pas avoir effectué une évaluation d'impact. Il est important de noter que ces règles s'appliquent à la fois aux contrôleurs et aux processeurs, ce qui signifie que les environnements « cloud » ne seront pas exemptés de l'application RGPD.

  • Une donnée à caractère personnel est une information relative à un citoyen européen identifié ou identifiable. Il peut s'agir d'un nom, d'une photo, d'une adresse e-mail, de coordonnées bancaires, d’une adresse IP ou d’informations génétiques ou biométriques.

    Le Règlement Général sur le Protection des Données personnelles régit l’ensemble du cycle de vie de ces données : de leur collecte à leur suppression, en passant par leur traitement.

    • Les données utilisées à titre strictement personnel par les citoyens : par exemple, les contacts personnels dans un Smartphone,
    • Les données anonymes ou anonymisées,
    • Les données non informatisées (ex : papier) qui ne sont pas destinées à un traitement automatisé (ex : cartes de visite),
    • Les données entrant dans le cadre de certains usages spécifiques : investigations criminelles, contrôle des frontières, données devant obligatoirement être conservées en vertu d’autres réglementations,
  • Le responsable des traitements est la personne ou l’organisation qui donne la finalité et les moyens pour effectuer le traitement. Ce sera souvent un mandataire social de l’entreprise. Le sous-traitant est la personne ou l’organisation qui exécute le traitement pour le compte du responsable des traitements. Ces deux entités ont des responsabilités différentes au regard du traitement dont il importe de préciser le périmètre, au regard des DCP dans les contrats qui les lient.

  • Les conditions du consentement ont été renforcées, les sociétés ne peuvent plus utiliser des termes illisibles et longs, plein de jargons juridiques. La demande de consentement doit donc être faite sous une forme intelligible, facilement accessible et sans ambiguïté. Il doit être aussi facile de retirer son consentement que de le donner. Le consentement explicite n'est requis que pour le traitement de données personnelles sensibles, un « opt in » sera donc nécessaire. Pour les données non sensibles, le consentement « non ambigu » suffira.

  • Les DPO doivent être nommées dans les cas suivants :

    • Autorités publiques,
    • Organisations qui effectuent un suivi systématique à grande échelle,
    • Organisations qui traitent à grande échelle des données personnelles sensibles (article 37).

    Si votre organisation ne tombe pas dans l'une de ces catégories, vous n’êtes pas dans l’obligation de nommer un DPO, mais cela est néanmoins vivement conseillé par la CNIL. Ce DPO peut être interne ou externe. Prodware peut effectuer pour vous la Délégation à la Protection des Données.