Protéger votre entreprise, vos salariés et vos clients 

Le RGPD n'est pas une contrainte, il nous protège tous !


Avez-vous fait le nécessaire pour protéger vos données personnelles, celles de vos salariés, celles de vos clients et fournisseurs ?

Est-ce que vos traitements de données et vos bases de données sont bien conformes aux exigences du RGPD ?

Est-ce que votre réseau et votre site internet sont suffisamment sécurisés ?

Inutile d'être effrayé par la tâche, isaro vous guide et vous accompagne dans la mise en conformité de vos traitements de données aussi bien sur le plan Juridique (assistance du cabinet d'avocats ACD) qu'Informatique (société Inkivari, assistance d'experts certifiés).

Le RGPD renforce la protection des données personnelles : en tant qu'entreprise ou en tant qu'individu, il nous protège.

Notre accompagnement à la mise en conformité au RGPD de votre entreprise est mené en partenariat avec le cabinet d'avocats ACD et la société Inkivari.

Règlement Général sur la Protection des Données


Le RGPD n'est pas une contrainte, il nous protège tous !


Pourquoi mettre votre entreprise en conformité au RGPD ?

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) harmonise l'ensemble des législations des pays membres de l'Union Européenne en matière de données à caractères personnels.

Mais le RGPD va plus loin encore puisqu'il s'impose également aux entreprises hors Union Européenne.

Comment un règlement européen peut-il s'imposer à des entreprises non européennes ?
Dès lors qu'une entreprise (UE ou hors UE) traite avec des résidents de l'UE, propose des services ou vendent des produits, des biens à ces mêmes résidents; elles sont tenues de respecter le RGPD dans l'ensemble de leurs traitements concernés.

L'une des conséquences visibles est le contrôle sur les données personnelles collectées que toutes ces entreprises doivent donner à leurs clients et utilisateurs de services. La règle sur les sites internet est devenue de demander le "consentement" de l'internaute pour toute collecte et utilisation de ses données personnelles.

Quels droits le RGPD accorde-t-il aux citoyens de l'Union Européenne ?


Droits des personnes renforcés :

  • Droit au consentement,
  • Droit à la portabilité des données,
  • Conditions particulières pour les données concernant les enfants
  • Droit à la réparation de préjudice moral ou matériel


Obligation de transparence et de responsabilisation des entreprises :

  • Allégement des formalités administratives,
  • Responsabilisation des acteurs,
  • Mise en place des outils de conformité,
  • Obligation de sécurisation des données.


Co-responsabilité avec les sous-traitants :

  • Notion de représentant légal
  • Responsabilité des sous-traitants engagée


La volonté est de sanctionner les mauvaises élèves. Les sanctions touchent tous les types de structure :

  • Collectivités territoriales
  • Associations
  • Entreprises commerciales
  • Organismes publics

En cas de nos respect de ces droits, les sanctions prévues vont du simple avertissement à des sanctions financières très lourdes en passant par l'injonction de satisfaire aux demandes d'exercice des droits des personnes.
Source CNIL.

Les sanctions peuvent être rendues publiques...







Qu'est-ce qu'une "donnée à caractère personnel" ?
Source CNIL

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

Une personne physique peut être identifiée :

  • directement (exemple : nom et prénom),
  • indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : nom),
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).

Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1@email.fr ») ne sont pas, en principe, des données personnelles.

La démarche de mise en conformité au RGPD
Source CNIL

La CNIL définit clairement la démarche de mise en conformité au travers de 6 étapes :

Objectif conformité !

 

Etape 1 : Désigner un pilote

Au sein de votre entreprise, il vous sera nécessaire de nommer un responsable des données personnelles. Celui-ci sera le pilote de l'ensemble de vos actions destinées à maîtriser vos données personnelles. Il "exercera une mission d’information, de conseil et de contrôle en interne" .  

Toutes les organisations n'ont pas l'obligation de nommer un Délégué à la Protection des données (DPO). Mais il est important de nommer un personne chargée de veiller au respect interne du RGPD.



Etape 2 : Cartographier

Vous devez connaître l'impact du RGPD sur l'ensemble de vos traitements (informatisés ou non) afin de connaitre votre degré d'exposition au risque de non conformité au règlement européen. 

La cartographie des traitements et données que vous manipulez vous permettra d'identifier celles et ceux qui sont à caractère personnel.

C'est dans votre "registre des traitements" que vous recenserez ces informations. 




Etape 3 : Prioriser les actions à mener

Pour chaque traitement qui manipule des données à caractère personnel, définissez des actions pour vous mettre en conformité avec le RGPD. 

Pour être efficace, priorisez ces actions en fonction des risques que vous évaluez vis-à-vis droits et les libertés des personnes.

Votre attention portera sur toutes les données à caractère personnel mais plus particulèrement  sur les données médicales, raciales, juridiques, etc. ainsi que sur les données concernent les mineurs. Il en va de même si vos traitements ont vocation à transférer des sonnées en dehors de l'Union Européenne.
 

Etape 4 : Gérer les risques

Dans le cas où certains de vos traitements révèlent des risques élevés, il est alors obligatoire de réaliser pour chacun d'entre eux une analyse d'impact relative à la protection des données (AIPD).

Cette analyse d'impact contiendra une description détaillées du traitement, une évaluation de la nécessité et de la proportion-nalité des opérations de traitement au regard des finalités, une évaluation des risques pour les droits et libertés des personnes concernées et enfin les mesures envisagées pour faire face aux risques.












Etape 5 : Organiser

La mise en place de procédures internes robustes vous permettront d'assurer une constante et réelle protection des données personnelles.  Pour cela prenez en compte l’ensemble des événe-ments qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, etc.).

Cela suppose que la protection des données personnelles soit prise en compte dès la conception des applications ou des traitements.

L'ensemble des salariés de l'entreprise doit être sensibilisé voire formé aux problématiques liées aux données personnelles. 

Toutes les réclamations ou demandes reçues par l'entreprise doivent être traitées avec diligence (accès, rectification, opposition, etc.).

Anticiper les violations de données en commu-niquant  auprès des autorités (délai de 72h) et des personnes concernées.


Etape 6 : Documenter

Vous devez tenir à jour une documentation complète pour prouver votre conformité au règlement. Cette documentation devra régu-lièrement être mise à jour.

Cette documentation portera :

  • sur vos traitements
    - Registre des traitements,
    - Analyses d'impact relatives à la protection des données (AIPD),
    - Encadrement des transferts de données hors UE.

  • l'information des personnes
    - Mentions d'information,
    - Recueil des consentements,
    - Procédures pour l'exercice des droits.

  • les rôles et responsabilités des acteurs
    - Contrats avec les sous-traitants,
    - Procédures internes relatives aux violations de données,
    - Preuves de consentements des personnes concernées.

Notre offre d'accompagnement de mise en conformité au RGPD

En partenariat avec la société Inkivari et le cabinet d'avocats ACD, une offre d'accompagnement à la carte !

L'offre est adaptée à toutes les entreprises :

  • Un accompagnement RGPD en 3 domaines : juridique, organisationnel et informatique,
  • Une offre à la carte en fonction de votre état d'avancement et de vos priorités,
  • Des objectifs d'autonomie et d'économie avec transfert de compétences,
  • Une mise en conformité durable avec nos outils de maintien de la conformité.


Diagnostic d'exposition au risque de non conformité au RGPD 

  • Questionnaires complets en ligne et interviews de vos équipes,
  • "Debriefing" avec notre équipe sur les 3 domaines,
Les résultats sont analysés, expliqués et accompagnés de préconisations.
Vous disposez des éléments pour définir vos priorités et votre plan d'actions pour la mise en conformité avec le RGPD.

Accompagnement à la mise en conformité

Plan d'actions personnalisé en fonction des priorités détectées lors du diagnostic :

  • Traitements
    - Cartographie traitements / données,
    - Constitution du registre des traitements,
    - Réalisation des Analyses d'impact sur la protection des données (PIA/Privacy Impact Assessment).

  • Juridique
    - Classification des données,
    - Identification des régimes juridiques,
    - Détermination des responsables de traitement,
    - Détermination des finalités juridiques des traitements,
    - Conseil et nomination d'un DPO si nécessaire,
    - Obligations à respecter.
  • Informatique
    - Sécurité d'accès aux données personnelles
    - Sécurisation des sites internet commerciaux
    - Procédure de destruction des données
    - Cryptage de données
    - Stratégie de sauvegarde des données

Transférer les compétences pour vous rendre autonome

  • Vous aider à réaliser le registre des traitements
  • Vous assister pour mettre en place une authentification forte
  • Construire avec vous votre première cartographie de traitement

Maintien de la conformité

  • Sensibilisation des utilisateurs (formation e-learning)
  • Formation de vos cadres en "présentiel"
  • Support et contrôle annuel pour valider les acquis et autoévaluation en e-learning

6 avantages à la mise en conformité RGPD

  1. Rassurer et fidéliser vos clients
  2. Valoriser le patrimoine de votre entreprise
  3. Vous démarquer face a la concurrence
4. Sécuriser votre système d'information
5. Optimiser vos processus et gagner en productivité
6. Améliorer votre efficacité commerciale