RGPD : tout ce qu'il faut savoir sur la nouvelle loi de Protection des Données

A VPN is an essential component of IT security, whether you’re just starting a business or are already up and running. Most business interactions and transactions happen online and VPN

Qu’est-ce que la RGPD ?

La RGPD (Règlementation Générale de Protection des Données) sera directement applicable dans tous les états de l’Union Européenne à partir du 25 mai prochain : comment s’y préparer et à quelles obligations les entreprises seront-elles soumises ? C’est pour répondre à ces questions qu’inovallée organisait le 11 janvier dernier un atelier d’information et d’échange co-animé par Optimex Data et Covateam.
Pourquoi la RGPD a-t-elle mise en place : parce que le nombre de données est exponentiel (on produisait en 2013 et en 10mn autant de données que 2 ans avant en 2 jours …), et que l’objectif de la loi est de redonner à chaque individu la propriété de ses données (jusqu’ici surtout exploitées par les Gafa …), en obligeant les entreprises à faire preuve de transparence quant aux données collectées et aux traitements faits sur elles, mais aussi à mettre en place des systèmes de protection efficaces.

Les éléments clés à retenir sur la RGPD :

  • tout le monde est concerné, même si c’est à plus ou moins grande échelle selon
    • la taille de l’entreprise,
    • le secteur d’activité et donc la typologie des données (celles de santé ou les données bancaires étant plus critiques que la raison sociale et l’adresse mail générique),
    • et la quantité de données traitées
  • une donnée est considérée comme personnelle dès lors qu’elle permet une identification (nom, adresse mail, géolocalisation, empreinte digitale, photo, etc)
  • les obligations liées à la loi sont :
    • la transparence : chaque entreprise doit tenir un registre des traitements
    • la désignation d’un DPO (Délégué à la Protection des Données), a minima en interne une personne référente capable de répondre aux questions de la CNIL, de préférence un référent extérieur, dont les missions seront d’informer / conseiller les équipes, de contrôler la conformité de les gestion des données de l’entreprise, de gérer les traitements à risque, et de dialoguer avec la CNIL
    • la co-responsabilité sous-traitant / donneur d’ordre, ce qui implique pour le premier de prouver sa conformité et pour le second de vérifier celle de ses sous-traitants en matière de gestion des données
    • la pseudonymisation : l’obligation de sécurisation des données passe, entre autres, par la pseudonymisation et le chiffrement (cryptage) des données
    • la formation des collaborateurs aux bonnes pratiques et à la politique de sécurité mise en place
    • l’audit des traitements : les entreprises ont pour obligation de cartographier leurs traitements, d’évaluer leur niveau de conformité et de mettre en place des actions correctives
    • l’audit de gestion des accès et mots de passe
    • la vigilance par rapport aux fournisseurs cloud (sur la localisation et la restitution des données)
    • la sauvegarde et la suppression des données
    • la mise en place de systèmes de protection contre les attaques extérieures
    • la gestion des droits d’accès aux données dans l’entreprise et en dehors
    • les mentions légales, qui doivent être beaucoup plus complète et notamment préciser à l’usager le mode de collecte de ses données (y compris si ces données ont été achetées à un tiers) et les traitements auxquels elles sont destinées;

Pour savoir où vous en êtes par rapport à votre conformité, un petit test est disponible en ligne sur le site de Covateam
Et pour aller plus loin, inovallée organise 2 jours de formation RGPD le 8 mars et le 15 mai.

Besoin d'un accompagnement ?