E6 RGPD

RGPD :  renforçons votre cybersécurité en respectant les normes et politiques en vigueur de votre secteur d’activité !

  • Prestation de DPO externe
  • Mission de conformité
  • Abonnement à la plateforme numérique de pilotage de la conformité

Notre solution E6 RGPD

QU'EST-CE QUE LE RGPD IMPLIQUE ?

QUI EST CONCERNÉ ?

Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Elle a vocation à, d’une part, renforcer la législation en matière de protection des données et, d’autre part, harmoniser la législation au sein de l’Union européenne. Il s’agit également, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données.

QUAND LE TEXTE EST-IL ENTRÉ EN VIGUEUR ?

Cette obligation de conformité, effective en mai 2018, impose aux entreprises d’évaluer leurs systèmes de traitement des données actuels pour mettre en place une réponse à cette nouvelle norme.

Si le RGPD peut être perçu comme une contrainte, il est plus pertinent de le prendre comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles. Les pénalités mises en place par cette nouvelle réglementation sont destinées à responsabiliser les entreprises et à les inciter à prendre des mesures suffisantes pour assurer la sécurité de ces données.

QUELLES SONT LES NOUVEAUTÉS ?

Le texte a trois objectifs :

  • Consolider les droits des personnes physiques,
  • Renforcer les pouvoirs des autorités européennes,
  • Responsabiliser les entreprises qui traitent les données à caractère personnel.

En effet, parmi les nouveautés mises en place dans cette législation, on compte notamment le droit à l’oubli, ainsi que le droit à la portabilité des données et à l’opposition de toute opération marketing.

Vis-à-vis des mineurs de moins de 16 ans, les entreprises sont désormais tenues de libeller les informations concernant le traitement des données en termes intelligibles pour les moins de 16 ans. Le consentement d’un parent ou tuteur légal est désormais obligatoire.

Par ailleurs, l’accountability est le principe fondamental du règlement européen. Il consiste en une responsabilisation plus forte des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

LE TEXTE CONCERNE-T-IL UNIQUEMENT LES ENTREPRISES EUROPÉENNES ?

Si cette mesure s’adresse aux entreprises européennes, elle touche également toutes celles vendant des produits ou des services sur le marché européen. En effet, ce texte instaure un comité européen de protection des données qui surveille et garantit la bonne application du règlement au niveau européen.

QU’EST-CE QUE LE RGPD IMPLIQUE ?

Le RGPD instaure également la nomination obligatoire d’un délégué à la protection des données pour les entreprises du secteur public, pour les entreprises dont l’activité principale conduit à assurer un suivi systématique et à grande échelle des personnes (profilage), ou dont l’activité principale est attenante à des traitements à grande échelle de données sensibles (politiques, religieuses, ethniques, biométriques, sanitaires, judiciaires, etc.) ou relative à des condamnations pénales et certaines infractions.

Les entreprises doivent par ailleurs évaluer le degré de risque pour les droits et libertés des personnes physiques avant chaque lancement de produit et notifier à la Cnil dans les 72 heures qui suivent la découverte d’une violation de données à caractère personnel (incident de sécurité).

Elles doivent également notifier la violation de données à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent.

QUELLES SONT LES SANCTIONS POSSIBLES ?

Le RGPD prévoit deux niveaux de sanctions en cas de non-respect de la réglementation. En fonction des articles du règlement en infraction, des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20.000.000 d’euros ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Un large chantier

Ce projet a pour but de créer des réflexes concernant la protection des données personnelles. Ces nouvelles mesures exigent davantage de vigilance de la part des entreprises, ainsi que des sous-traitants, qu’elles responsabilisent. Ce règlement amorce donc un large chantier à mener, notamment dans la révision des contrats, pour se prémunir en cas d’infogérance. Des travaux d’autant plus complexes que ces sociétés comptent souvent de nombreux interlocuteurs et impactent divers services.

Aujourd’hui, il appartient aux entreprises d’entamer dès maintenant les travaux nécessaires à l’adaptation du projet RGPD : évaluer l’outillage de sécurité des systèmes d’information et les dispositifs de sécurité existants, puis identifier les écarts et les faiblesses pour mettre en place une feuille de route de mise en conformité.

Ce diagnostic prend du temps et les actions qui pourront rendre les entreprises conformes à cette nouvelle réglementation sont chronophages.

Toutes les entreprises sont susceptibles de subir des attaques et des malveillances informatiques : il leur appartient de tout faire pour s’en prémunir.