En consultant notre site, vous consentez à ce que des cookies soient utilisés à des fins d’analyse, de pertinence, et de publicité. En savoir plus

 

RGPD / GDPR : Soyez prêts

La conformité c'est maintenant !

General Data Protection Regulation  soit Règlement Général sur la Protection des Données

Le Règlement général sur la Protection des données (RGPD) est le nouveau cadre légal qui prendra effet le 25 mai 2018 dans l’Union européenne (UE). Les réglementations européennes ont une incidence directe sur les États membres de l’UE, en ce sens que le RGPD primera sur toutes les lois nationales. 

shutterstock 338610344 684x513

Le RGPD a pour objet la protection des données à caractère personnel, c’est-à-dire les données concernant les individus. Il s’agit de l’un des plus grands bouleversements de la réglementation encadrant le traitement des données à caractère personnel. Le RGPD concerne non seulement les entreprises, mais potentiellement toute personne, entreprise, autorité ou administration publique, ou toute autre organisation traitant les données à caractère personnel de résidents de l’UE. Sont inclus notamment dans cette liste les fournisseurs ou tout autre tiers auxquels une entreprise peut faire appel pour gérer les données à caractère personnel.

Ayant initié, dès la publication du texte, un programme de mise en conformité pour ses propres solutions et processus internes de gestion de données, Kesys met son expertise à la disposition de ses clients. 

Présentation et enjeux

À partir du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) promulgué par la Commission Européenne va devenir le texte européen de référence en matière de protection des données personnelles. Ses dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.

Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995, tout en s’inspirant largement de la Loi Informatique et Libertés qui existe depuis 1978 (et vient la renforcer).

La montée en puissance du numérique dans la vie quotidienne des individus facilite notamment l’exploitation de données personnelles par les organismes. Dans un objectif de profilage, de personnalisation et de monétisation, ces pratiques devaient être adaptées, à la fois pour améliorer la protection des données personnelles des individus et aider les organismes à mettre en place une gouvernance de données standardisée, et transparente, facilitant la mise en œuvre de programmes analytiques à forte valeur ajoutée (connaissance client et personnalisation, gestion des risques & fraude, etc.).

L’objectif du RGPD / GDPR est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des organismes ». Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place les dispositifs prônés par la directive de 1995.

Qu’est-ce qu’une donnée personnelle ?

Selon la loi Informatique et libertés : " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. "

Pourquoi ?

  • Avoir plus de visibilité et de contrôle sur ses données personnelles
  • Maitriser le cycle de vie des données et les transmettre sur simple demande

Le contenu du RGPD / GDPR

Le RGPD / GDPR instaure dans toute l’Europe un cadre réglementaire harmonisé directement applicable dans chacun de 28 Etats-Membres. Ce langage commun relatif à la protection des données personnelles s'appliquera également aux organismes évoluant hors de l'Union européenne qui exploitent les données concernant les activités des organisations et des résidents de l'UE.

Alors que la Loi Informatique & Libertés française reconnaissait déjà des droits aux individus (opposition au traitement sous réserve d’un motif légitime, droit d’accès aux données, droit de rectification/suppression), ce sont désormais sept droits qui sont mis en avant ou renforcés par le RGPD / GDPR :

  1. Transparence des informations et des communications
  2. Droit d'accès à la donnée de la personne concernée
  3. Droit de rectification
  4. Droit à l’oubli
  5. Droit à la limitation du traitement
  6. Droit à la portabilité des données
  7. Droit d’opposition

 Datasecure

Ce que cela implique pour les entreprises

La mise en place du GDPR offre aux entreprises une opportunité de repenser en profondeur la gestion de leurs données dans un principe de transparence. Pour se faire, les entreprises devront se conformer à certaines règles qui se basent sur cinq grands changements.

  • La protection des données plus approfondie

La GDPR met en place le principe de responsabilité c’est-à-dire que c’est à l’entreprise de prendre toutes les mesures pour garantir sa conformité au GDPR mais cela implique aussi que l’entreprise doit être capable de démontrer qu’elle a bien rempli ses obligations en terme de protection des données, ce qui lui sera notamment demandé lors d’un contrôle par la CNIL.. Elle devra ainsi être abordée dès les phases amont des projets, c’est « Privacy by design » (ou protection des données dès la conception) : le règlement prévoit que, dès la conception d’un traitement, les conséquences que pourraient avoir le traitement de ces données sur les libertés fondamentales doivent être prises en compte. « Autrement dit, l’entreprise doit déjà avoir anticipé ces problèmes lors de la conception de son système d’information ». C’est là qu’intervient le principe de « Security by default », qui quant à lui renforce le rôle de la sécurité dans le système d’information, avec par exemple des contrôles d’accès pour un système de prévention à tout niveaux . Mais l’entreprise doit être aussi en mesure de déceler si l’intégrité de son SI a été compromise et pouvoir y remédier.

Les exigences qu’elle porte devront être intégrées  dans les applications et les solutions (CRM, ERP, MDM, DMP…), et les « cloud service providers » ou autres « data centers » se devront de respecter les normes de sécurité sur l’ensemble du cycle de vie de la donnée. Avec la mise en avant du « privacy by design and by default », la protection des données personnelles devra être replacée au cœur même de la conception des projets et des initiatives.

  • Le consentement des usagers

L’entreprise devra désormais obtenir - et surtout pouvoir apporter la preuve - que les personnes aient explicitement consenti à ce que leurs données personnelles soient utilisées à tels ou tels types de fins (démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.). Il faudra donc mettre en place une véritable gestion centralisée des consentements pour donner de la visibilité aux utilisateurs et aux autorités de contrôles sur les consentements accordés, mais aussi afin d’être en mesure de prendre compte dans les meilleurs délais, leur éventuel retrait.

  • Le droit à l’oubli revisité

Il s’agit ici pour les entreprises d’être en mesure de garantir aux personnes qui leur en feront la demande (pour peu que la demande soit légitime) que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.

  • La portabilité des données

Le GDPR impose désormais aux entreprises de mettre à disposition des personnes qui le demandent leurs données personnelles. La personne pourra demander à une entreprise de transférer directement ce fichier de données personnelles à une autre entreprise « lorsque cela est techniquement possible », obligeant les concurrents d’un même secteur d’activité à se concerter et à travailler de concert

  • La nomination d’un délégué à la protection des données

La GDPR impose la nomination d’un « data privacy officer » (DPO) à toutes les instances publiques et à toutes les entreprises privées effectuant des traitements de données personnelles à grande échelle.

Ce DPO aura notamment comme prérogatives :

- De superviser la mise en œuvre et le suivi des initiatives de mise en conformité GDPR

- D’informer l’organisation et le personnel de leurs obligations en matière de gestion des données personnelles

- D’être le point de contact et de centralisation de toutes les demandes d’application des droits des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, demande de modification, etc.)

- De coopérer avec l’autorité de contrôle

- De participer à l’élaboration des analyses d’impacts, obligatoires pour certains types de traitements (profiling, données sensibles, etc.)

Dans le même temps, votre système d'information devra se mettre en conformité avec le texte RGPD ce qui implique d'améliorer la sécurité par le chiffrement et l'anonymisation, ainsi que l'audibilité et la cartographie des traitements et du stockage des données utilisateurs. L'audit implique de pouvoir réaliser la traçabilité des données, alors la cartographie nécessite à la base un encadrement des données personnelles.

Pour mieux vous préparez, n'hésitez pas à vous tourner vers la CNIL qui vous aide à vous préparez à la mise en conformité en 6 étapes

Contrôle et Sanction    money

Les enjeux pour les organismes, sont par conséquent, d’offrir plus de contrôle aux individus sur leurs données personnelles, en respectant l’intégralité de ces obligations sous peine de sanctions.

Mesure phase du nouveau règlement européen, la Commission Européenne a durci fortement les pénalités auxquelles s’exposent les organismes dont les pratiques ne seraient pas en conformité. Celles-ci risquent une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires ou 10 M€ (le montant le plus important étant retenu) pour une organisation non conforme et 4% du CA ou 20 M€ pour le non-respect des droits des internautes, sans compter les dommages éventuels sur la réputation de l’entreprise.

Sage et la RGPD

ext

Afin d’accompagner ses clients dans cette démarche, Sage a lancé une action de révision de l’ensemble de ses solutions et de leur documentation utilisateur respective.En complément, Sage pourra fournir des améliorations logicielles et des outils afin de faciliter la prise en compte par l’entreprise des obligations du RGPD sur les 3 thèmes principaux :

- La sécurité : sécurisation des postes de travail, des serveurs, des espaces de stockage et la mise en place de politiques ou clauses de confidentialité. Sage pourra proposé également un renforcement de la gestion des mots de passe et de la protection de certaines données stockées ou échangées

- La gestion des droits des personnes : des fonctionnalités de suppression et de rectification des données personnelles, d’import/export, des fonctions de sélection des personnes concernées par les traitements. Sage pourra également proposé des fonctions de purges améliorées qui faciliteront l’effacement des données, des fonctions d’opt-out pour faciliter la gestion du droit d'opposition

- La contribution à la démonstration de la conformité : Sage fournira une cartographie des données personnelles traitées dans le logiciel.

Notre implication : Kesys et la RGPD

KESYS, étant un prestataire susceptible d'être un acteur manipulant des données sensibles, a bien entendu entrepris l'étude des impacts internes et externes de cette nouvelle réglementation.Pour se faire, nous avons opté pour la nomination d'un délégué à la protection des données (Data Protection Officier – DPO) afin de mener les actions nécessaires à la bonne application du RGPD. Nous ne manquerons pas de revenir vers nos clients et partenaires pour vous informer des dispositions prises ou à prendre dans ce cadre réglementaire et notamment sur les domaines suivants:

  • Accès au Portail Client ;
  • Données personnelles dans nos bases pour assurer notre service ;
  • Interventions sur votre système informatique ;
  • Copie et stockage de vos données lors d'intervention.

Pour toute question ou demande d'information, n'hésitez pas à nous contacter ici.

Qui sommes nous?

logo

Késys est un acteur de référence dans la mise en œuvre et la maintenance de solutions de gestion Sage ainsi que dans le déploiement de systèmes et réseaux informatiques.

 

 

Contact

Késys IDF - Siège
  01 40 89 89 83 / 89
6 rue Barbès
       92300 Levallois-Perret

Késys Ouest
02 51 79 14 79
4, allée de la Maladrie
       44123 Vertou