Stacks Image 407204
Stacks Image 408276

Le RGPD, êtes-vous en conformité ?

Le nouveau règlement RGPD (Règlement Général sur la Protection des Données) ou General Data Protection Regulation (GDPR) en anglais, effectif à partir du 25 mai 2018, est une étape majeure dans la protection des données. Il vise à renforcer l’importance de la protection des données personnelles auprès de ceux qui les traitent et à responsabiliser les entreprises.

Ses dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.

Pour s’assurer de leur conformité à tout instant, les responsables de traitements dans les entreprises disposeront de nouveaux outils (analyses d’impact, registre) et de nouvelles ressources à nommer ou à engager, notamment un délégué à la protection des données, ou DPO en anglais (Data Protection Officer).

Il est essentiel que les responsables de traitement dans les entreprises soient préparés à cette nouvelle règlementation et Alrix Consulting vous accompagne dans la transition vers ce nouveau cadre juridique pour votre mise en conformité.
RGPD

L'Accompagnement par AlriX Consulting

Face au caractère complexe et transversal du projet de mise en conformité au RGPD, nous avons développé une méthodologie de diagnostic et de mise en œuvre qui s’adresse aux acteurs de taille moyenne (PME et collectivités) et leur permet de déterminer rapidement leur plan de mise en conformité.

Construite en 2 phases où nous proposons tout d'abord de dresser un bilan d’étape du projet de mise en conformité et d’organiser les travaux à accomplir (priorités, charges, ressources), puis la mise en oeuvre proprement dite.

Les premières étapes de la première phase sont un état des lieux et un transfert d'information à l'entreprise qui aura ainsi tous les éléments et outils pour accomplir le devoir de régulation et nommer un délégué à la protection des données personnelles DPO (Data Protection Officer) en interne.

Pour la deuxième phase, si l'entreprise n'a pas les ressources en interne pour gérer cette tâche, Alrix Consulting peut l'effectuer pour vous et être également votre DPO externalisé. Une fréquence de présence sera déterminée en fonction de la taille de l'entreprise, des flux de données personnelles et de la fréquence des changements du système d'information (nouveaux applicatifs, nouvelles solutions techniques, nouveau personnel, etc.) .
>> La mise en place du RGPD en 2 phases
Alrix Consulting a décliné son offre en deux phases

La première phase, le "Starter Pack", est composé de 3 étapes, il consiste en un état des lieux de situation, afin de déterminer si vous êtes bien éligible à la règlementation RGPD, en fonction des données personnelles traitées. Un rapport de synthèse et la remise de toutes les informations, documents et outils nécessaires vous permettront de mettre en place en interne les processus nécessaires. Cette phase est donc une phase de conseil.

La seconde phase, l'"Exécution", comprend elle 2 étapes (la mise en place proprement dit et le suivi opérationnel) qui peuvent-être réalisées, soit par l'entreprise elle-même, avec les éléments et documents fournis lors de la première phase du "Starter Pack", soit réalisée par Alrix Consulting. Dans ce cas le tarif pour cette phase sera établi en fonction des besoins et de la taille de l'entreprise.
Cette étape comprend une phase initiale de mise en place des processus, sensibilisation du personnel, tenue des documents et registres, puis une phase opérationnelle de suivi. Dans ce cas des visites régulières à des fréquences définies seront proposées pour le suivi des processus ainsi mis en place, cela peut aller de quelques jours par an à plusieurs fois par mois.

Si vous n'avez pas les resources en interne ou ne souhaitez pas en engager, Alrix Consulting peut également être nommé comme DPO externalisé de votre entreprise .
Stacks Image 407560
Important ! Au démarrage des activités, Alrix Consulting vous délivrera une attestation d’avoir entammé les démarches de mise en conformité, ceci à toute fin utile, notamment si vous devez démontrer à vos clients, fournisseurs ou autorités votre travail de mise en conformité.
>> Les tarifs
Le tarif de la Phase 1 "Starter Pack" décrit ci-dessus est de : CHF 2'880.- HT
(Le tarif est hors déplacements, suppléments en fonction du lieu de votre entreprise)
Le tarif de la Phase 2 "Exécution" sera établi à la fin de la Phase 1. Il dépend en effet du nombre de jours nécessaires à la mise en oeuvre de la mise en conformité et du suivi à faire par la suite, ceci en fonction du type et nombre de données personnelles gérées par l'entreprise.
Les consultants d'Alrix Consulting sont formés au RGPD et peuvent être votre DPO (Data Protection Officer).
Stacks Image 408057
Stacks Image 408278
Obtenez notre label de mise en conformité
Alrix Consulting peut devenir votre DPO

Prenez contact avec nous pour en savoir plus sur notre approche !

Pour recevoir plus d'information et entamer votre démarche de mise en conformité, merci de compléter le formulaire ci-dessous et nous vous recontacterons dans les meilleurs délais.
Pour connaître et exercer vos droits, notamment de retrait de mon consentement à l'utilisation des données collectées par ce formulaire, veuillez consulter notre Politique de Confidentialité
>> La mise en place du RGPD en 2 phases
Alrix Consulting a décliné son offre en deux phases

La première phase, le "Starter Pack", est composé de 3 étapes, il consiste en un état des lieux de situation, afin de déterminer si vous êtes bien éligible à la règlementation RGPD, en fonction des données personnelles traitées. Un rapport de synthèse et la remise de toutes les informations, documents et outils nécessaires vous permettront de mettre en place en interne les processus nécessaires. Cette phase est donc une phase de conseil.

La seconde phase, l'"Exécution", comprend elle 2 étapes (la mise en place proprement dit et le suivi opérationnel) qui peuvent-être réalisées, soit par l'entreprise elle-même, avec les éléments et documents fournis lors de la première phase du "Starter Pack", soit réalisée par Alrix Consulting. Dans ce cas le tarif pour cette phase sera établi en fonction des besoins et de la taille de l'entreprise.
Cette étape comprend une phase initiale de mise en place des processus, sensibilisation du personnel, tenue des documents et registres, puis une phase opérationnelle de suivi. Dans ce cas des visites régulières à des fréquences définies seront proposées pour le suivi des processus ainsi mis en place, cela peut aller de quelques jours par an à plusieurs fois par mois.

Si vous n'avez pas les resources en interne ou ne souhaitez pas en engager, Alrix Consulting peut également être nommé comme DPO externalisé de votre entreprise .
Stacks Image 408020
Stacks Image 408022
Important ! Au démarrage des activités, Alrix Consulting vous délivrera une attestation d’avoir entammé les démarches de mise en conformité, ceci à toute fin utile, notamment si vous devez démontrer à vos clients, fournisseurs ou autorités votre travail de mise en conformité.
>> Les tarifs
Le tarif de la Phase 1 "Starter Pack" décrit ci-dessus est de : CHF 2'880.- HT
(Le tarif est hors déplacements, suppléments en fonction du lieu de votre entreprise)
Le tarif de la Phase 2 "Exécution" sera établi à la fin de la Phase 1. Il dépend en effet du nombre de jours nécessaires à la mise en oeuvre de la mise en conformité et du suivi à faire par la suite, ceci en fonction du type et nombre de données personnelles gérées par l'entreprise.
Les consultants d'Alrix Consulting sont formés au RGPD et peuvent être votre DPO (Data Protection Officer).
Stacks Image 408078
Obtenez notre label de mise en conformité
Stacks Image 408083
Alrix Consulting peut devenir votre DPO

Prenez contact avec nous pour en savoir plus sur notre approche !

Pour recevoir plus d'information et entamer votre démarche de mise en conformité, merci de compléter le formulaire ci-dessous et nous vous recontacterons dans les meilleurs délais.
Pour connaître et exercer vos droits, notamment de retrait de mon consentement à l'utilisation des données collectées par ce formulaire, veuillez consulter notre Politique de Confidentialité

En savoir plus sur la règlementation RGPD

Faites vous-même ce mini questionnaire d'Audit en ligne pour estimer vos connaissances en matière de RGPD. Il y a 17 questions, avec leurs réponses, relatives à nouvelle règlementation.

Ce test et sans engagement et totalement anonyme. Démarrez maintenant !
>> Qui est concerné ?
    Toute entreprise ou collectivité publique traitant des données personnelles européennes

En effet, ces dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.
Stacks Image 407568
>> Objectif de cette régulation
    Donner au citoyen de la visibilité, le contrôle ainsi que la portabilité de ses données personnelles
    Maitriser le cycle de vie des données et être en mesure de les transmettre en cas de demande de la personne concernée
    Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place ce type de dispositifs qui auraient pu être dictées par des précédentes directive propres à chaque pays.
>> Sanctions
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

    Prononcer un avertissement ;
    Mettre en demeure l’entreprise ;
    Limiter temporairement ou définitivement un traitement ;
    Suspendre les flux de données ;
    Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
    Ordonner la rectification, la limitation ou l'effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 20 millions d’euros, ou, dans le cas d’une entreprise, de 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Sans compter les dommages et intérêts pour préjudice à la personne concernée !
>> La Démarche pour les entreprises
Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier la situation des données personnelles dans votre organisation, ces mesures se déclinent en 6 points.
Stacks Image 407381
1. DESIGNER un "chef d'orchestre", le DPO (Data Protection Officer) ou en français le « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. CARTOGRAPHIER les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements doit être mis en place.

3. PRIORISER les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. GERER les risques en menant des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés.

5. ORGANISER les processus internes en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. DOCUMENTER la conformité, et la mettre à jour régulièrement
>> Eléments à définir dans l'entreprise:
    Inventaire des différents types de données
    Modèle de gestion des données concernées
      Descriptif de stockage :
      Lieu physique (accès)
      Sécurité
      Redondance
      Durée de vie des données
      Mode d’effacement
    Mode de collecte des données
    Mode de transfert (fournir les données à la personne concernée)
    Sécurité d’accès aux données
Alrix Audit et Conseils
>> Le Délégué à la Protection des données ou DPO (Data Protection Officer)
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
    s’ils appartiennent au secteur public dans les pays européens,
    si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,  
    si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions. 

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé : 
    d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
    de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
    de conseiller l’organisme sur la réalisation d’une analyse d'impact (PIA) et d’en vérifier l’exécution ;
    de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
>> Qui est concerné ?
    Toute entreprise ou collectivité publique traitant des données personnelles européennes

En effet, ces dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.
Stacks Image 407685
>> Objectif de cette régulation
    Donner au citoyen de la visibilité, le contrôle ainsi que la portabilité de ses données personnelles
    Maitriser le cycle de vie des données et être en mesure de les transmettre en cas de demande de la personne concernée
    Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place ce type de dispositifs qui auraient pu être dictées par des précédentes directive propres à chaque pays.
>> Sanctions
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

    Prononcer un avertissement ;
    Mettre en demeure l’entreprise ;
    Limiter temporairement ou définitivement un traitement ;
    Suspendre les flux de données ;
    Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
    Ordonner la rectification, la limitation ou l'effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 20 millions d’euros, ou, dans le cas d’une entreprise, de 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Sans compter les dommages et intérêts pour préjudice à la personne concernée !
>> La Démarche pour les entreprises
Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier la situation des données personnelles dans votre organisation, ces mesures se déclinent en 6 points.
Stacks Image 407734
1. DESIGNER un "chef d'orchestre", le DPO (Data Protection Officer) ou en français le « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. CARTOGRAPHIER les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements doit être mis en place.

3. PRIORISER les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. GERER les risques en menant des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés.

5. ORGANISER les processus internes en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. DOCUMENTER la conformité, et la mettre à jour régulièrement
>> Eléments à définir dans l'entreprise:
    Inventaire des différents types de données
    Modèle de gestion des données concernées
      Descriptif de stockage :
      Lieu physique (accès)
      Sécurité
      Redondance
      Durée de vie des données
      Mode d’effacement
    Mode de collecte des données
    Mode de transfert (fournir les données à la personne concernée)
    Sécurité d’accès aux données
Alrix Audit et Conseils
>> Le Délégué à la Protection des données ou DPO (Data Protection Officer)
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
    s’ils appartiennent au secteur public dans les pays européens,
    si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,  
    si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions. 

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé : 
    d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
    de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
    de conseiller l’organisme sur la réalisation d’une analyse d'impact (PIA) et d’en vérifier l’exécution ;
    de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.