GDPR Keep calm 0
Difficile de ne pas avoir entendu parler du RGPD ces dernières semaines ! Vous avez sans doute reçu un grand nombre de newsletters et d'e-mails mettant à jour les politiques de confidentialité des entreprises. Cet article vous montre comment mettre vos données en  conformité avec le nouveau règlement européen et éviter les lourdes sanctions prévues (montant le plus élevé entre 4% de votre chiffre d'affaires et 20 millions d'euros).

Qu'est-ce que le RGPD ?

Le 25 mai dernier est entré en vigueur, dans l'Union Européenne (UE), le Règlement Général sur la Protection des Données, plus connu sous son acronyme RGPD. Il vise à protéger les citoyens européens contre la violation de leur vie privée et la violation de leur données à travers plusieurs principes :

  • Portée territoriale accrue : le RGPD touche toutes les entreprises traitant des données personnelles de citoyens de l'UE, quel que soit leur siège social.

  • Amendes croissantes: pour les infractions lourdes, nous avons vu le montant record prévu. Mais sachez que des amendes réduites (2% du chiffre d'affaires) sont prévues pour diverses autres infractions telles que l'absence de dossiers conformes, l'absence de notification appropriée en cas de violation ou l'absence d'évaluation d'impact.

  • Consentement : l'entreprise doit demander le consentement de chaque citoyen de manière simple et claire. Le changement d'avis doit être également facilité.

  • Notification de violation : tout traitement de données qui ferait l'objet d'une violation (perte des données, diffusion de données confidentielles...) doit être notifié à la CNIL dans les 72 heures.

  • Droit d'accès: chaque citoyen a le droit d'obtenir des informations sur le traitement de ses données personnelles (lieu, but...) et peut demander à recevoir gratuitement par voie électronique copie de ses données.

  • Droit à l'oubli: chaque citoyen peut demander à toute entreprise d'effacer ses données personnelles ou d'arrêter tout traitement de ses données.

  • Portabilité des données : chaque citoyen peut recevoir ses données personnelles et les transmettre à un tiers chargé de les contrôler.

  • Confidentialité : la protection des données doit être assurée par les entreprises, dès la phase de conception des systèmes d'information.

  • Responsable de la protection des données : certaines entreprises devront nommer un délégué à la protection des données, rattaché directement à la direction de l'entreprise et ne présentant pas de conflit d'intérêt pour assumer ce rôle.

Comment Dimensional Insight vous aide à mettre en œuvre le RGPD

Concrètement, chaque entreprise, qui collecte ou traite des données, doit savoir :

  • quelles données sont collectées ou traitées
  • où les données sont stockées
  • combien de temps les données sont conservées
  • si elle a bien le droit de détenir ces données.

Le siège européen de Dimensional Insight, aux Pays-Bas, a mis en place depuis plus d'un an un système de gestion de la sécurité de l'information (SGSI), dans le cadre de l'obtention de la certification ISO27001.

En qualité d'entreprise de Business Intelligence, Dimensional Insight traite les données personnelles, rôle de processeur selon le RGPD, pour le compte de ses clients, les contrôleurs. L'entreprise a ainsi sensibilisé ses clients, mais aussi ses employés, aux enjeux du RGPD à travers des ateliers. Elle a par ailleurs rationalisé et standardisé ses processus internes pour remplir parfaitement ses obligations.


Comment organiser vos données conformément au RGPD ?

  1. Créez un registre de données

Commencez par la base ! Que ce soit sur une feuille de calcul, dans une base de données ou sur DivePort, commencez par répertorier les différents ensembles de données et leurs attributs

  1. Répondez aux questions suivantes

Pour chaque ensemble de données répertorié au point 1, posez-vous les questions suivantes :

  • Contient-il des données personnelles ?
  • Avez-vous l'autorisation explicite de conserver ces données ?
  • Êtes-vous le contrôleur ou le processeur de ces données ?
  • Depuis quand détenez-vous ces données ? Combien de temps voulez-vous encore les conserver ?
  • Les données sont-elles conservées dans une zone sécurisée du serveur ? Avez-vous un logiciel de sécurité ?
  • Ces données sont-elles accessibles exclusivement aux personnes aux personnes qui en ont besoin ?
  • Avez-vous un consentement pour chaque enregistrement d'information personnelle (identification personnelle) ?
  • Avez-vous un consentement pour chaque exploitation des données ?
  1. Effectuez des évaluations d'impact sur la vie privée

Cette évaluation sera réalisée sur chaque ensemble de données et sera accessible à l'auditeur, au commissaire, au régulateur.

Pour déterminer le risque : probabilité d'incident x conséquences (faibles, moyennes, élevées) = risque pour le sujet


Comment utiliser DIVER pour gérer vos données conformément au RGPD ?

  1. Gérez vos projets RGPD avec DivePort
  • référentiels de données et portlets de gestion de documents
  • conservation des documents RGPD
  • accessibilité de ces documents aux utilisateurs nécessaires
  • liste des accès autorisés pour la sécurité (le maillon faible réside souvent dans les employés)

DBI data management portal 1
  1. Visualisez vos progrès avec DivePort
  • mise en place de KPI sur la sécurité, les facteurs de risque, les violations...
  • gestion des requêtes et des demandes d'accès

DBI can add new data in Diveport 2
  1. Création de rapports en .PDF avec DivePort pour envoyer :
  • à la CNIL dans les 72H après la violation,
  • au demandeur dans les 30 jours après une demande

DBI GDPR dashboard 3Pour en savoir plus, contactez nous : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.