Êtes-vous prêts ?
Quelle stratégie avez-vous défini ?
Le Règlement Général sur la Protection des Données (RGPD), adopté en avril 2016 par l’Union Européenne entrera en vigueur en mai 2018. Il est composé de 99 articles qui visent à règlementer le traitement de la donnée personnelle et faciliter les échanges de données entre pays de l’UE.
Le RGPD comprend des suggestions spécifiques sur les types d’actions de sécurité susceptibles d’être considérés comme « pertinents par rapport au risque », y compris :
- Le cryptage des données personnelles.
- La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent les données personnelles.
- La possibilité de restaurer les données et d’assurer l’accès aux données en temps opportun en cas d’incident physique ou technique.
Le RGPD remplacera la législation nationale, telle que la loi britannique sur la protection des données (DPA) et les équivalents dans d’autres pays européens.
PROCESSUS, ORGANISATION ET TECHNOLOGIE
Création du registre : inventaire des traitement des Données à Caractère Personnel (DCP)
Le Privacy Impact Assessment (PIA) : ce support de la démonstration du traitement de la donnée personnelle nécessite la validation d’éléments clés pour l’entreprise (vue globale du cycle de vie de la donnée, analyse des risques…). Sa mise en oeuvre implique l’analyse de la sécurité liée aux données (menace interne, crime organisé, espionnage), la cartographie de la répartition et de la connaissance des données de l’entreprise, la caractérisation des traitements et les risques associés.
Une adaptation organisationnelle et fonctionnelle en phase avec le marché IT et l’explosion du volume des données.
LE RESPECT DES PROCESSUS LIES A LA PERSONNE
Consentement par la personne lors de la collecte d’informations à caractère personnel.
Droit à l’information sur les informations personnelles (identité du responsable des traitements, finalité, durée de conservation…).
Restitution des données personnelles sous une forme ouverte et réutilisable.
Droit à l’oubli, rectification, destruction des données personnelles.
UNE NECESSITE JURIDIQUE
Le RGPD est un règlement et non une directive, il sera applicable dans tous les états membres de l’Union Européenne.
AMENDE
PME : jusqu’à 20M€*
Grandes Entreprises : jusqu’à 4%*
20M€ ou 2-4%*
Violation caractérisée des règles de protection.
Défaut de notification d’incidents à l’autorité et aux personnes concernées.
500K€ ou 1%*
Manque de transparence sur les mécanismes de protection ou violation du droit à l’oubli.
250K€ ou 0,5%*
Délais de réponses trop longs sur des requêtes concernant la protection des données.
*CA annuel mondial
PROCESSUS, ORGANISATION ET TECHNOLOGIE
Création du registre : inventaire des traitement des Données à Caractère Personnel (DCP)
Le Privacy Impact Assessment (PIA) : ce support de la démonstration du traitement de la donnée personnelle nécessite la validation d’éléments clés pour l’entreprise (vue globale du cycle de vie de la donnée, analyse des risques…). Sa mise en oeuvre implique l’analyse de la sécurité liée aux données (menace interne, crime organisé, espionnage), la cartographie de la répartition et de la connaissance des données de l’entreprise, la caractérisation des traitements et les risques associés.
Une adaptation organisationnelle et fonctionnelle en phase avec le marché IT et l’explosion du volume des données.
LE RESPECT DES PROCESSUS LIES A LA PERSONNE
Consentement par la personne lors de la collecte d’informations à caractère personnel.
Droit à l’information sur les informations personnelles (identité du responsable des traitements, finalité, durée de conservation…).
Restitution des données personnelles sous une forme ouverte et réutilisable.
Droit à l’oubli, rectification, destruction des données personnelles.
UNE NECESSITE JURIDIQUE
Le RGPD est un règlement et non une directive, il sera applicable dans tous les états membres de l’Union Européenne.
AMENDE
PME : jusqu’à 20M€*
Grandes Entreprises : jusqu’à 4%*
20M€ ou 2-4%*
Violation caractérisée des règles de protection.
Défaut de notification d’incidents à l’autorité et aux personnes concernées.
500K€ ou 1%*
Manque de transparence sur les mécanismes de protection ou violation du droit à l’oubli.
250K€ ou 0,5%*
Délais de réponses trop longs sur des requêtes concernant la protection des données.
*CA annuel mondial
SANCTIONS PÉNALES
Si la plupart des articles sur le sujet insistent plus particulièrement sur les sanctions administratives, les sanctions pénales ne sont pas en reste. L’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives. Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal.
L’OFFRE NUMIWAY QUICK STARTER RGPD
UNE OFFRE METHODOLOGIQUE ET TECHNIQUE POUR VOUS ACCOMPAGNER
Nos offres de consulting RGPD s’appuient sur une double compétence :
- Notre expérience dans la mise en oeuvre des référentiels normatifs.
- Notre expertise de la gestion de la donnée dans les infrastructures complexes.
OBJET DE L’OFFRE QUICK START RGPD (8 – 12 jours)
- Comprendre le règlement RGPD, son organisation et ses impacts principaux.
- L’interpréter dans le contexte métier et évaluer combien l’entreprise sera impactée.
- Définir et mettre en oeuvre une méthode adaptée et conforme.
- Préparer les outils permettant le bon déroulement du projet : Analyse des Risques, Plan de Projet (jalons et durée), etc.
DEMARCHE EN 5 ETAPES
1. PRESENTATION RGPD
SESSIONS DE PRESENTATIONS ET D’INTERVIEWS
- RGPD : Enjeux et perspectives
- Organisation du règlement
- Top 10 des exigences
- Politique DCP
- Organisation et responsabilités
- Le Data Protection Officer
- Planification globale
- Communication interne managers
EVALUER L’IMPACT DU PROJET
L’impact du projet dépendra des facteurs suivants :
- La quantité et la granularité des DCP
- Le degré de sensibilité des DCP
- Le nombre de personnes (propriétaires) de DCP
- Le nombre d’intervenants ayant accès aux DCP et à leurs traitements.
2. ETUDE EXISTANT
- Déclaration CNIL
- Process d’organisation interne
- Sécurité informatique
- Autres référentiels métier
3. TYPOLOGIE DCP
PREMIERE CARTOGRAPHIE DATA INSIGHT
- Typologie de données
- Age de données
- Identification de données orphelines
- Evaluation des risques pesant sur les données
- Droit d’accès sur les partages et les fichiers
- Fréquences d’accès à certains fichiers
DONNEES A CARACTERE PERSONNEL
- Identifier les sources de DCP*
- Support des DCP*
- Types des DCP* et traitements
- Registre de traitement des DCP*
4. ANALYSE RISQUES
PIA* ARTICLE 35.7 :
L’analyse contient au moins :
- Une description systématique des opérations de traitements envisagés et des finalités du traitement, y compris, le cas échéant l’intérêt légitime poursuivi par le responsable du traitement,
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
- Une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 , et
- Des mesures envisagées pour faire face au risque, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personne concernées et des autres personnes affectées.
- Evènements redoutés
- Grille d’impact et de vraisemblance d’un risque
- Maturité RGPD
- Impact juridique
- PIA*
PIA* : Privacy Impact Assessment
5. PLAN D’ACTIONS
RESTITUTION
Méthodologie d’Analyse de risques
Résultat 1ère évaluation : DCP et risques
Plan d’actions
Plan projets
Listes des procédures et formulaires