(Article premier du RGPD)
Le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
Le règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnel.
La libre circulation des données à caractère personnel au sein de l’Union n’est ni limité ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Un certain nombre de mesures concrètes répondent à 4 objectifs :
1/ Rehausser le niveau technique et organisationnel des organismes pour donner une protection accrue de la vie privée des personnes ;
2/ Éliminer les incohérences dans les lois nationales ;
3/ Mettre à jour la loi pour mieux répondre aux défis de protection de la vie actuelle (réseaux sociaux, données massives, marketing comportemental) ;
4/ Réduire la charge des coûts administratifs pour les entreprises qui traitent de protection des données avec plusieurs autorités (cela concerne les entreprises travaillant à l’international).
- L’objectif premier vise à établir un constat de l’existant, dans un cadre organisationnel et méthodologique qui aidera à aborder votre conformité au RGPD.
ZAINDU, holding de la structure ADITU et spécialisée dans la branche conseil informatique, vous propose de faire apparaître :
–> Une compréhension de l’organisme de l’intérieur
–> L’analyse des systèmes de flux de données existant (qui accède à quoi ?)
–> Un investissement de la Direction quant au fait de déterminer les flux (ce qui peut paraître intrusif)
–> L’étude ou la rédaction d’une politique de la vie privée
–> La schématisation d’une structure organisationnelle
–> La classification des données
–> L’appréciation des risques
–> Si nécessaire (selon activité professionnelle) : l’analyse d’impact sur la protection des données (PIA)
- L’objectif second est d’être conforme aux exigences du document officiel, applicable au 25 mai 2018. Il s’agit ici d’harmoniser le panorama juridique européen en matière de protection des données personnelles, afin qu’il n’y ait qu’un seul et même cadre qui s’applique parmi l’ensemble des États membres de l’UE.
Le déploiement du RGPD comprendra différentes phases au sein de votre organisation :
–> Recueillir et prier le consentement des individus
–> Garantir aux personnes l’accès, la modification, la restitution et l’effacement de leurs données
–> Garantir la sécurité des données collectées, traitées et stockées par des mesures adaptées
–> Sécuriser les données contre les risques de perte, de divulgation ou de vol par des moyens adéquats
–> Documenter toutes les mesures et les procédures de protection
–> Garder en mémoire que des sanctions en cas de manquement à la mise en conformité existent
- L’objectif troisième se situe dans le maintien de la conformité au travers d’une veille constante spécifique à votre activité.
L’organisme doit mener une évaluation de ses systèmes et de ses procédures afin d’assurer leur adaptabilité, leur adéquation et leur efficacité de manière continue.
Il s’agira de :
–> Déterminer les mesures à surveiller
–> Quoi surveiller
–> Quoi mesurer
–> Quand surveiller, mesurer, analyser et évaluer
–> Qui va surveiller, mesurer, analyser et évaluer
–> Adapter les processus de surveillance continus en fonctions des facteurs de changement (organisationnels / technologiques / externes de type législatif, contractuels avec les clients et fournisseurs)
–> Sensibiliser le personnel de la structure
- L’objectif quatrième et ultime cible le repérage et la notification des violations de données
La structure se doit de :
–> Contacter la CNIL et de décrire la violation sous un délai de 72h
–> Contacter les personnes physiques concernées
–> Mettre en place des actions correctives en interne et auprès des sous-traitants
–> Communiquer en interne et en externe