Maintenance informatique

Conformité RGPD

AccueilAccueil / ServiceService/

Qu'est-ce que le RGPD ?

Le sigle RGPD signifie "Règlement Général sur la Protection des Données" soit GDPR "General Data Protection Regulation" qui sera le plus souvent utlisé pour l'international.

Le RGPD encadre le traitement des données personnelles sur le territoire de l'Union européenne. Ce règlement s'adapte pour suivre les évolutions des technologies et de nos sociétés avec l'usage accrus du numérique et du développement du commerce en ligne.

Cette loi mis en action en le 25 Mai 2018 s'incrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l'utilisation qui peut être faite des données les concernant.

Qui est concerné par le RGPD ?

La CNIL repond à cette question par "Tout organisme quels que soient sa taille, son pays d'implémentation et son activité, peut être concerné."

Il est vrai que le RGPD s'applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors que cette organisation est établie sur le territoire de l'Union européenne ou que son activité cible directement des résidents européens. Il s'aplique aussi au sous-traitants qui traitent des données personnelles pour le compte d'autres organismes.

Comment pouvez-vous, chef d'entreprise, vous assurer de votre conformité au RGPD

La démarche RGPD est avant tout l'occasion de faire le point sur l'utilisation des services numériques dans la collectivité et de s'assurer de la protection des données personnelles a bien été prise en compte. La mise en conformité au RGPD passe par quatre étapes successives et certaines de ces actions doivent perdurer dans le temps pour être efficaces.

I - Recenser les traitements

Le RGPD impose au responsable de traitement de tenir un registre listant les traitements de données. Il permet d'avoir une vision claire et globale des activités de la collectivité qui nécessitent la collecte et le traitement de données personnelles.

Dans ce registre nous pouvons trouver :

  • le nom et les coordonnées du responsalbe du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsalbe et du DPO? délégué à la protection des données ;
  • la finalité de ce traitement de données ;
  • les données qui seront traitées (nom, adresse, nationalité, etc.) ;
  • le personnelle ayant accès à ces données ;
  • les durées de concervation des données ;

 

II - Faire le tri dans vos données

Pour traiter vos données, il faut supprimer les données superflux à votre objéctif et pour cela le registre permet de vérifier :

  • que les données traitées sont bien pertinentes et nécessaire à l'objectif poursuivi ;
  • que les données de nature sensible soient bien protéger par des mesures de sécurité ;
  • que seules les agents habilités ont accès aux dont ils ont besoin ;
  • que les données ne sont pas conservées au-delà de ce qui est nécessaire en fixant précisément la durée de conservation et d'archivage des données.

 

III - Respecter les droits des administrés

Les utlisateurs communicant leurs données personelles ont des droits qu'ils peuvent appliquer sur leurs données :

  1. être informer du traitement de ses données :

Chaque fois que des données personnelles sont recueillies, que ce soit sur un formulaire, par l'intermédiaire d'un téléservice ou par oral, ils est impératif d'informer en toute transparence les personnes concernées des conditions d'utilisation de leurs données et de leurs droits, en particulier :

  • les coordonnées du responsable du traitement des données ;
  • pourquoi ces données sont collectées ;
  • ce qui autorise à cette personne de traiter ces données ;
  • combien de temps ces données seront conservées ;
  • comment les personnes peuvent exercer leurs droits ;
  • si les données ont un risque d'être transférées hors de l'Union européenne.

 

      2. organisez et facilitez l'exercice des droits des administrés et des agents :

Toutes personnes (agents, utilisateurs, prestataires, etc.) ont des droits sur leurs données. Il faut permettre à ces derniers d'exercer le plus simplement possible leurs droits :

  • droit d'accès : la personne accède à toutes les informations sur elle ;
  • droit de rectification : la personne modifie des informations détenues sur elle ;
  • droit d'opposition : la personne refuse l'utilisation des informations détenues sur elle ;
  • droit d'effacement : la peronne demande la suppresion des informations détenues sur elle ;
  • droit à la portabilité : la personne récupère dans u format ouvert et lisible par machine les informations détenues sur elle ;
  • droit à la limitation : la personne demande à geler l'utilisation des informations détenues sur elle.

Ces droits comprennet chacun des exception et des limitations spécifiques, en fonction de la base légale du traitement ou de son contexte. Pour prendre un exemple, nous ne pouvons pas appliquer le droit d'opposition ou d'effacement sur les fichiers d'état civil.

Si vous posséder un site web, prévoyer un formulaire spécifique ainsi qu'une adresse mail ou un numéro de téléphone dédié à cela pour éviter toute confusion ou perte de données.

 

IV - Sécurisez les données

Il faut mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données. En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérance avec les risques pour les droits et libertés des personnes concernées.

Il existe trois types de risques : l'accès illégitime à des données, leur modification non désirée et leur disparition. Ces incidents peuvent avoir des consquences très préjudiciables pour les personnes dont les données sont oncernées et des répercussions réputationnelles très importantes pour les organismes.

Plusieurs vérifications peuvent être effectuées sur vos locaux :

  • la sécurité des locaux ;
  • la sécurité des comptes utilisateurs avec des mots de passe complexe ;
  • la création de profils distincts selon les besoins des utilisateurs pour accéder aux données ;
  • la sécurités des postes de travail (verrouillage de l'écran, antivirus, etc.) ;
  • la sensibilisation du personnel aux risques ;
  • la création et la signature d'un charte informatique ;
  • la présence de technologies portables (clé USB, disques durs, smartphones, ordinateur portable) ;
  • des procédures de sauvegardes régulières et de récupération des données en d'incident.

 

 

Service de maintenance informatique

Email : contact@aaai.fr