CONSULTING RGPD 2017-10-11T13:15:56+00:00

CONSULTING RGPD

Etes-vous prêts ?

Quelle stratégie avez-vous défini ?

Le Règlement Général sur la Protection des Données (RGPD), adopté en avril 2016 par l’Union Européenne entrera en vigueur en mai 2018. Il est composé de 99 articles qui visent à règlementer le traitement de la donnée personnelle et faciliter les échanges de données entre pays de l’UE.

Le RGPD comprend des suggestions spécifiques sur les types d’actions de sécurité susceptibles d’être considérés comme « pertinents par rapport au risque », y compris :

  • Le cryptage des données personnelles.
  • La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent les données personnelles.
  • La possibilité de restaurer les données et d’assurer l’accès aux données en temps opportun en cas d’incident physique ou technique.

Le RGPD remplacera la législation nationale, telle que la loi britannique sur la protection des données (DPA) et les équivalents dans d’autres pays européens. 

LES AXES MAJEURS DU RGPD

AMENDE

  • PME : jusqu’à 20M€*
  • Grandes Entreprises : jusqu’à 4%*

20M€ ou 2-4%*

Violation caractérisée des règles de protection.

Défaut de notification d’incidents à l’autorité et aux personnes concernées.

500K€ ou 1%*

Manque de transparence sur les mécanismes de protection ou violation du droit à l’oubli.

250K€ ou 0,5%*

Délais de réponses trop longs sur des requêtes concernant la protection des données.

*CA annuel mondial

PROCESSUS, ORGANISATION ET TECHNOLOGIE

Création du registre : inventaire des traitement des Données à Caractère Personnel (DCP)

Le Privacy Impact Assessment (PIA) : ce support de la démonstration du traitement de la donnée personnelle nécessite la validation d’éléments clés pour l’entreprise (vue globale du cycle de vie de la donnée, analyse des risques…). Sa mise en oeuvre implique l’analyse de la sécurité liée aux données (menace interne, crime organisé, espionnage), la cartographie de la répartition et de la connaissance des données de l’entreprise, la caractérisation des traitements et les risques associés.

Une adaptation organisationnelle et fonctionnelle en phase avec le marché IT et l’explosion du volume des données.

LE RESPECT DES PROCESSUS LIES A LA PERSONNE

Consentement par la personne lors de la collecte d’informations à caractère personnel.

Droit à l’information sur les informations personnelles (identité du responsable des traitements, finalité, durée de conservation…).

Restitution des données personnelles sous une forme ouverte et réutilisable.

Droit à l’oubli, rectification, destruction des données personnelles.

UNE NECESSITE JURIDIQUE

Le RGPD est un règlement et non une directive, il sera applicable dans tous les états membres de l’Union Européenne. Encadrer par la CNIL des pénalités seront

L’OFFRE NUMIWAY QUICK START RGPD

UNE OFFRE METHODOLOGIQUE ET TECHNIQUE POUR VOUS ACCOMPAGNER

Nos offres de consulting RGPD s’appuient sur une double compétence :

  • Notre expérience dans la mise en oeuvre des référentiels normatifs.
  • Notre expertise de la gestion de la donnée dans les infrastructures complexes.

OBJET DE L’OFFRE QUICK START RGPD (8 – 12 jours)

  • Comprendre le règlement RGPD, son organisation et ses impacts principaux.
  • L’interpréter dans le contexte métier et évaluer combien l’entreprise sera impactée.
  • Définir et mettre en oeuvre une méthode adaptée et conforme.
  • Préparer les outils permettant le bon déroulement du projet : Analyse des Risques, Plan de Projet (jalons et durée), etc.

UNE DEMARCHE EN 5 ETAPES

1. PRESENTATION RGPD

SESSIONS DE PRESENTATIONS ET D’INTERVIEWS

  • RGPD : Enjeux et perspectives
  • Organisation du règlement
  • Top 10 des exigences
  • Politique DCP
  • Organisation et responsabilités
  • Le Data Protection Officer
  • Planification globale
  • Communication interne managers

EVALUER L’IMPACT DU PROJET

L’impact du projet dépendra des facteurs suivants :

  • La quantité et la granularité des DCP
  • Le degré de sensibilité des DCP
  • Le nombre de personnes (propriétaires) de DCP
  • Le nombre d’intervenants ayant accès aux DCP et à leurs traitements.

2. ETUDE EXISTANT

  • Déclaration CNIL
  • Process d’organisation interne
  • Sécurité informatique
  • Autres référentiels métier

3. TYPOLOGIE DCP

PREMIERE CARTOGRAPHIE DATA INSIGHT

  • Typologie de données
  • Age de données
  • Identification de données orphelines
  • Evaluation des risques pesant sur les données
  • Droit d’accès sur les partages et les fichiers
  • Fréquences d’accès à certains fichiers

DONNEES A CARACTERE PERSONNEL

  • Identifier les sources de DCP*
  • Support des DCP*
  • Types des DCP* et traitements
  • Registre de traitement des DCP*

4. ANALYSE RISQUES

PIA*  ARTICLE 35.7 :

L’analyse contient au moins :

  • Une description systématique des opérations de traitements envisagés et des finalités du traitement, y compris, le cas échéant l’intérêt légitime poursuivi par le responsable du traitement,
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
  • Une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 , et
  • Des mesures envisagées pour faire face au risque, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personne concernées et des autres personnes affectées.

PIA* : Privacy Impact Assessment

  • Evènements redoutés
  • Grille d’impact et de vraisemblance d’un risque
  • Maturité RGPD
  • Impact juridique
  • PIA*

5. PLAN D’ACTIONS

RESTITUTION

  • Méthodologie d’Analyse de risques
  • Résultat 1ère évaluation : DCP et risques
  • Plan d’actions
  • Plan projets
  • Listes des procédures et formulaires

Remplissez le formulaire ci-dessous si vous souhaitez être recontacter dans l'heure.