RGPD 16 11 18FORMATION PAR ELEOM AVOCATS NIMES SUR LA PROTECTION DES DONNEES PERSONNELLES LE 16 NOVEMBRE 2018 de 8H 30 à 10 H 30 A NIMES A L’OPEN TOURISME LAB (Triangle de la gare) INSCRIPTIONS PAR MAIL :Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. ou 04 66 04 07 61

 

Protection des données personnelles (RGPD) : Mieux vaut tard que jamais ! eleom avocats

 

La date fatidique du 25 mai 2018 est maintenant passée. Vous n’avez pas (encore réussi) à passer le fameux cap du RGPD, angoissé par l’ampleur de la tâche. Dans tous les cas, dites-vous bien que mieux vaut tard que jamais. Il est grand temps de se lancer dans le grand bain du RGPD !

 

Qu’est-ce qu’une donnée à caractère personnel ?

 

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable (une personne identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (nom, numéro d’identification, données de localisation, identifiant en ligne) et un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). Certaines données personnelles sont qualifiées de données à caractère sensible, qui exige une vigilance et une protection accrue. Il s’agit des données portant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, la génétique, les données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle,le passé pénal.

 

Quels sont les grands principes à retenir ?

 

Le principe de finalité : les données à caractère personnel ne peuvent être recueillies et traitées que pour une finalité déterminée, explicite et légitime

 

Le principe de proportionnalité : seules les informations adéquates, pertinentes et nécessaires à la finalité du traitement peuvent faire l’objet d’un traitement de données à caractère personnel

 

Le principe d’une durée de conservation limitée des données : les informations ne peuvent être conservées indéfiniment. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier

 

Le principe de sécurité et de confidentialité : les données contenues dans les fichiers ne peuvent être consultées que par les personnes habilitées à y accéder en raison de leurs missions

 

Comment se mettre en conformité ?

 

1. Le registre des activités de traitement :

 

Il est nécessaire d’établir un registre des activités de traitement, qui est obligatoire pour tous.

Pour établir ce registre, il faut se poser les questions suivantes :

 

QUI ? Désigner un responsable de traitement

Etablir la liste des sous-traitants

 

QUOI ? Identifier les catégories de données traitées

Identifier les données particulièrement sensibles (santé, infractions…)

 

POURQUOI ? Identifier la ou les finalités pour lesquelles les collectes ou traitements de données sont faits (ex : gestion de la relation commerciale, gestion RH)

 

OU ? Déterminer le lieu où les données sont hébergées.

Indiquer vers quels pays les données sont éventuellement transférées

En pratique, il est vivement conseiller de recenser les différents supports utilisés : Les logiciels, les fichiers ; les matériels : serveur, ordinateur, portable, disques durs, clés USB ; les liens avec les sous-traitants : les dossiers partagés, les échanges de mails, google drive, données confiés à un comptable ; les supports et fichiers papiers.

 

JUSQU’À QUAND ?  Indiquer, pour chaque catégorie de données, le temps de conservation.

 

COMMENT ? Préciser les mesures de sécurités mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc l’impact sur la vie privée des personnes concernées.

 

Les mesures de sécurité à mettre en place :

  1. Sensibiliser vos collaborateurs sur la conduite à tenir pour assurer la sécurité des traitements de données personnelles au sein de votre entreprise : Organiser des réunions d’information, afficher des notes d’informations, leur proposer une charte informatique
  2. Sécuriser votre système informatique : Sécuriser tous les postes de travail : mise place d’un mot de passe pour chaque utilisateur, Sécuriser les serveurs informatiques et les réseaux internes (anti-virus, mises à jour et correctifs de sécurité, tests), Encadrer la maintenance informatique, Sécuriser votre sauvegarde, Mettre en place des mesures de traçabilité (journalisation des accès des utilisateurs, identifiant, date et heure de connexion)
  3. S’assurer que vos sous-traitants se conforment à la  RGPD : Bien choisir ses prestataires, Interroger vos sous – traitants sur les mesures mises en place par leurs entreprises pour sécuriser les données personnelles, Définir une politique d’accès à votre système informatique par vos sous-traitants
  4. Informer vos clients : Mettre à jour votre site internet (insertion de mentions obligatoires et consentement préalable de la personne concernée en matière de cookies), Affichages d’information dans vos locaux, Insérer des clauses relatives à la RGPD dans vos contrats, vos conditions générales de vente ou de prestations de services, Faire régulariser un formulaire de collecte de données à caractère personnel
  5. Sécuriser les données personnelles de vos propres salariés et collaborateurs : Rendre inaccessible aux autres membres de l’entreprise les données à caractère personnelles de vos salariés (dossier informatique inaccessible, dossier physique sous clé…)
  6. Gérer les violations de données : prévoir en interne un processus propre de gestion des incidents. Information de la CNIL.

2. Désigner un délégué à la protection des données :

 eleom avocats 2

Est obligatoire dans deux cas : pour les organismes publics ou pour une entreprise dont l’activité de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle (les banques avec les cartes bancaires, les compagnies d’assurances) ou à traiter à grande échelle des données dites sensible (mutuelle pour les questions de santé) ou relatives à des condamnations pénales et à des infractions. Son rôle est d’informer et conseiller le responsable de traitement, les employés, les sous-traitants, de contrôler le respect du règlement et de coopérer avec l’autorité de contrôle. 

 

3. L’analyse d’impact

 

L’analyse d’impact est obligatoire lorsqu’un type de traitement est susceptible d’engendre un risque élevé pour les droits et libertés des personnes physiques. Une analyse d’impact doit être faite Lorsqu’un traitement remplit au moins 2 critères: