SERVICES IT
ACCOMPAGNEMENT
RGPD - DPO
Alrix Suisse France
CONSEILS EN
TECHNOLOGIES
DIGITALES
SERVICES IT
ACCOMPAGNEMENT
RGPD - DPO
Stacks Image 1226
CONSEILS EN
TECHNOLOGIES
DIGITALES

Audit RGPD

Faites vous-même ce mini questionnaire d'Audit en ligne pour estimer vos connaissances en matière de RGPD. Il y a 17 questions, avec leurs réponses, relatives à nouvelle règlementation.

Ce test et sans engagement et totalement anonyme. Démarrez maintenant !

En savoir plus sur la règlementation RGPD

>> Qui est concerné ?
    Toute entreprise ou collectivité publique traitant des données personnelles européennes

En effet, ces dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.
RGPD Alrix Europe
>> Objectif de cette régulation
    Donner au citoyen de la visibilité, le contrôle ainsi que la portabilité de ses données personnelles
    Maitriser le cycle de vie des données et être en mesure de les transmettre en cas de demande de la personne concernée
    Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place ce type de dispositifs qui auraient pu être dictées par des précédentes directive propres à chaque pays.
>> Sanctions
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

    Prononcer un avertissement ;
    Mettre en demeure l’entreprise ;
    Limiter temporairement ou définitivement un traitement ;
    Suspendre les flux de données ;
    Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
    Ordonner la rectification, la limitation ou l'effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 20 millions d’euros, ou, dans le cas d’une entreprise, de 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Sans compter les dommages et intérêts pour préjudice à la personne concernée !
>> La Démarche pour les entreprises
Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier la situation des données personnelles dans votre organisation, ces mesures se déclinent en 6 points.
Stacks Image 407381
1. DESIGNER un "chef d'orchestre", le DPO (Data Protection Officer) ou en français le « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. CARTOGRAPHIER les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements doit être mis en place.

3. PRIORISER les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. GERER les risques en menant des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés.

5. ORGANISER les processus internes en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. DOCUMENTER la conformité, et la mettre à jour régulièrement
>> Eléments à définir dans l'entreprise:
    Inventaire des différents types de données
    Modèle de gestion des données concernées
      Descriptif de stockage :
      Lieu physique (accès)
      Sécurité
      Redondance
      Durée de vie des données
      Mode d’effacement
    Mode de collecte des données
    Mode de transfert (fournir les données à la personne concernée)
    Sécurité d’accès aux données
Alrix Audit et Conseils
>> Le Délégué à la Protection des données ou DPO (Data Protection Officer)
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
    s’ils appartiennent au secteur public dans les pays européens,
    si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,  
    si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions. 

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé : 
    d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
    de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
    de conseiller l’organisme sur la réalisation d’une analyse d'impact (PIA) et d’en vérifier l’exécution ;
    de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
>> Qui est concerné ?
    Toute entreprise ou collectivité publique traitant des données personnelles européennes

En effet, ces dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.
Stacks Image 407685
>> Objectif de cette régulation
    Donner au citoyen de la visibilité, le contrôle ainsi que la portabilité de ses données personnelles
    Maitriser le cycle de vie des données et être en mesure de les transmettre en cas de demande de la personne concernée
    Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place ce type de dispositifs qui auraient pu être dictées par des précédentes directive propres à chaque pays.
>> Sanctions
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de protection peuvent notamment :

    Prononcer un avertissement ;
    Mettre en demeure l’entreprise ;
    Limiter temporairement ou définitivement un traitement ;
    Suspendre les flux de données ;
    Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
    Ordonner la rectification, la limitation ou l'effacement des données.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 20 millions d’euros, ou, dans le cas d’une entreprise, de 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Sans compter les dommages et intérêts pour préjudice à la personne concernée !
>> La Démarche pour les entreprises
Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier la situation des données personnelles dans votre organisation, ces mesures se déclinent en 6 points.
Stacks Image 407734
1. DESIGNER un "chef d'orchestre", le DPO (Data Protection Officer) ou en français le « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.

2. CARTOGRAPHIER les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements doit être mis en place.

3. PRIORISER les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.

4. GERER les risques en menant des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés.

5. ORGANISER les processus internes en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.

6. DOCUMENTER la conformité, et la mettre à jour régulièrement
>> Eléments à définir dans l'entreprise:
    Inventaire des différents types de données
    Modèle de gestion des données concernées
      Descriptif de stockage :
      Lieu physique (accès)
      Sécurité
      Redondance
      Durée de vie des données
      Mode d’effacement
    Mode de collecte des données
    Mode de transfert (fournir les données à la personne concernée)
    Sécurité d’accès aux données
Alrix Audit et Conseils
>> Le Délégué à la Protection des données ou DPO (Data Protection Officer)
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
    s’ils appartiennent au secteur public dans les pays européens,
    si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,  
    si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions. 

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.

Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.

Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé : 
    d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
    de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
    de conseiller l’organisme sur la réalisation d’une analyse d'impact (PIA) et d’en vérifier l’exécution ;
    de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.