fbpx
Archives mensuelles :

novembre 2017

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

Une assurance pour protéger ses données personnelles ?

1920 1280 jeremy

Avec la mise en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les compagnies d’assurances proposent des nouvelles offres aux entreprise pour protéger leurs données personnelles.

En quoi consiste ces offres d’assurance ?

Ces prestations portent différents noms (assurance cyberprotection, assurance protection numériques, assurance cybercriminalités…) et couvrent principalement :

  • Les atteintes aux données et programmes de l’entreprise
  • Les atteintes aux données personnelles des clients
  • Les tentatives de cyber-extorsion de fonds
  • Les piratages informatiques et vol de données
  • La e-reputation de l’entreprise

En souscrivant à cette assurance, votre entreprise peut être indemnisée entre autres sur :

  • Les frais de reconstitution des données de l’entreprise
  • Les frais de restauration des données informatiques des tiers
  • Les frais d’expertise en vue d’identifier l’origine de l’atteinte
  • Les notifications aux clients concernés

Prévenir et pas seulement guérir ?

Il est judicieux de souscrire à une assurance contre les cyberattaques, mais il est primordial d’anticiper ces risques afin d’adopter les meilleurs comportements le jour où l’incident se produit.

Nous sommes tous assurés contre le vol, et la plupart d’entre nous avons mis en place un système de télésurveillance.

Nous sommes tous assurés en Responsabilité Civile, et nous avons tous mis en place des contrats clients pour définir au plus juste notre relation client et nos engagements respectifs.

Demain, les entreprises seront de plus en plus assurées contre les cyber-attaques, et les mieux organisées auront anticipé la mise en conformité de leur entreprise avec le RGPD. En effet, anticiper les failles et les risques encourus concernant la protection des données personnelles est une évidence pour tous les organismes sensibilisés et moteurs dans la protection des données personnelles.

Plusieurs éléments sont à prendre en compte :

  • La sensibilisation du personnel pour adopter les meilleurs comportements dans leur quotidien
  • La mise en place de procédures internes pour savoir comment réagir en cas de problème détecté (qui informer ? comment informer ? quand informer ?)
  • Une étude d’impact concernant les données personnelles gérées par l’entreprise

De façon plus générale, le RGPD préconise d’avoir une vision d’ensemble des données traitées dans l’entreprise, grâce à la mise en place d’un registre des traitements. Pour cela, il est fortement recommandé, voire obligatoire, de nommer un Data Protection Officer (DPO) pour orchestrer la mise en place du RGPD et garantir la conformité de votre entreprise.

Optimex Data est une agence spécialisée dans la protection des données et accompagne les entreprises dans la nomination d’un DPO en interne ou dans l’externalisation de la mission de DPO.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

RGPD – Vous avez dit « mesures techniques et organisationnelles » ?

1920 1280 jeremy

Dans le Règlement Général sur la Protection des Données, une notion est présente au sein de quelques articles, c’est la notion de « mesures techniques et organisationnelles ».

Que doit-on entendre par cette notion et pourquoi a-t-elle l’air de fasciner toute la toile ?

Par « mesures techniques », il faut entendre les mesures que votre prestataire de service informatique vous propose lorsque vous décidez de sécuriser vos données. C’est par exemple :

  • Le chiffrement des données confidentielles
  • La gestion des droits d’accès,
  • Les outils de lutte contre les intrusions extérieures dans le réseau (firewall, anti-virus)
  • La politique des mots de passe (complexité, changement régulier)
  • La protection via des flux sécurisés (TSL/SSL, https, sftp)

Par « mesures organisationnelles », il faut entendre les mesures de confidentialité et de protection de la vie privée que les agences spécialisées comme Optimex Data proposent. C’est par exemple :

  • Procédure de cartographie des données
  • Déploiement d’une solution de data management
  • Revue des contrats (sous-traitants, partenaires, salariés, clients)
  • Sensibilisation/formation des équipes métiers et IT
  • Tenue du registre des activités de traitement
  • Politique de minimisation des données (Privacy by design)
  • Analyse de risque (PIA/EIVP)
  • Gestion des droits des personnes

Afin d’être en conformité avec le RGPD, il est évident que le responsable de traitement va devoir passer par des solutions techniques de sécurité. Toutefois, il est important qu’il prenne conscience que le RGPD est un texte juridique qui impose des obligations liées à la confidentialité et à la vie privée.

Optimex Data souhaite rappeler à tous que le RGPD et la protection des données à caractère personnel, c’est essentiellement et avant tout, la mise en œuvre de mesures organisationnelles au sein de l’organisme afin de préserver la confidentialité et la vie privée des personnes concernées.

FAQ RGDP Optimex Data agence spécialisée dans la protection des données personnelles

Règlement Européen – FAQ RGPD

1920 1280 jeremy

Le Règlement Général sur la Protection des Données (RGPD) arrive à grands pas et vous entendez de plus en plus parler de cet acronyme qui ne vous rassure pas vraiment.

Après tout, pourquoi s’inquiéter ? « Ce n’est qu’une énième législation européenne prise par des parlementaires pour justifier leur salaire ». Permettez-nous de vous dire que vous vous trompez ! Un Règlement européen, c’est juridiquement très contraignant, et celui-ci l’est particulièrement pour les entreprises et les organismes publics.

Optimex Data vous propose de faire connaissance avec le règlement Européen via une FAQ RGPD  visant à répondre aux questions les plus fréquemment posées.

Pourquoi une nouvelle législation sur la protection des données ?

Pour faciliter les échanges de données dans l’Union européenne (grâce à une harmonisation de la législation) et pour garantir plus de transparence dans le traitement des données des citoyens (en responsabilisant davantage les entreprises).

Après tout, ce n’est que du bon sens, n’est-ce pas ?

Bien sûr, en France, nous avons la chance de bénéficier d’une législation en matière de protection de la vie privée sur Internet depuis presque 40 ans (la loi Informatique et Libertés date de 1978). Nous baignons dans une culture de protection de la vie privée et rare sont les comportements illégaux au sein des entreprises.

Je ne vends pas les données que je récolte, suis-je tout de même concerné par le Règlement ?

Oui ! Malgré votre bonne volonté et votre bonne foi vis-à-vis des données de vos clients, de vos salariés, de vos usagers, de vos partenaires, vous êtes concerné par le Règlement car le RPGD, c’est avant tout une logique de transparence et de justification.

J’ai déjà effectué des déclarations auprès de la CNIL, faut-il que j’aille plus loin ?

Comme dit ci-dessus, le RGPD vise à responsabiliser davantage les entreprises, c’est ce que le Règlement appelle « l’accountability ». Fini les déclarations à la CNIL, bonjour le registre des activités de traitement et les audits de procédure !

Pourquoi devrais-je désigner un délégué à la protection des données ?

Le délégué à la protection des données (Data Protection Officer ou DPO en anglais) est un acteur clé de la mise en conformité. C’est lui qui va vous conseiller pour chacune des obligations imposées par le RGPD. Il vous aidera à tenir un registre des traitements, à auditer vos traitements, à gérer les demandes relatives au droit des personnes, à effectuer une analyse d’impact sur la protection des données, à garantir votre conformité au RGPD !

Le droit des personnes, qu’est-ce que c’est ?

Accéder à ses données, pouvoir les rectifier, les effacer, les télécharger pour les transporter ou pouvoir refuser une prospection commerciale. Le RGPD est riche en droits des personnes et les entreprises doivent garantir chacun d’eux.

Si je ne suis pas en conformité au 25 mai 2018, que va-t-il se passer ?

Rien ! Le 25 mai 2018 n’est pas une date butoir. Toutefois, si la CNIL est amenée à contrôler votre organisme (à la suite d’une faille technique entrainant une fuite de donnée ou à la suite d’une plainte en ligne d’un de vos salariés ou clients) et que vous n’avez pas entamé une démarche de conformité, vous serez sanctionné à hauteur de votre investissement envers la protection des données.

Quels types de sanctions peut prononcer la CNIL ?

La formation restreinte de la CNIL peut prononcer des sanctions pouvant aller de l’avertissement public (dommageable pour la réputation de l’entreprise) à la sanction pécuniaire. Le RGPD prévoit à ce titre des sanctions pouvant atteindre jusqu’à 10 ou 20 millions d’euros voire 2 ou 4% du chiffre d’affaires de l’entreprise en fonction de la gravité des manquements.

La CNIL peut également vous enjoindre de cesser un traitement (ce qui peut dans certains cas coûter très cher à l’entreprise).

En espérant que notre FAQ RGPD ait répondu à vos interrogations !

Optimex Data agence spécialisée dans la protection des données personnelles vous accompagne dans la tenue d'un registre des traitements RGPD

Tenir un registre des traitements RGPD

1920 1280 jeremy

Afin de vous aider à mieux comprendre le Règlement Général sur la Protection des Données (RGPD), Optimex Data a décidé de vous expliquer les principales obligations que chaque entreprise doit respecter afin d’être en conformité avant le 25 mai 2018.

Tenir un registre des traitements RGPD

Le registre des traitements représente, selon Optimex Data, le plus gros travail des entreprises dans leur mise en conformité avec le RGPD. En effet, tenir un registre des traitements RGPD, c’est avant tout cartographier chaque traitement de l’entreprise afin de bénéficier d’une vue d’ensemble de la société.

Toutefois, la cartographie des traitements n’est qu’une étape dans la tenue du registre qui, selon l’article qui le consacre (art. 30 du RGPD), doit contenir des informations précises concernant chaque traitement et doit être actualisé régulièrement.

Concrètement, chaque responsable de traitement doit décrire, pour chaque traitement, sa (ou ses) finalité(s), le type de données personnelles concernées, les destinataires des données, le délai d’effacement des données, etc.

De manière générale, Optimex Data vous conseille de suivre le schéma suivant afin d’initier la conformité au sein de votre organisme :

Cette étape très importante est vaste et requiert, entre autres, des compétences juridiques et organisationnelles. C’est pourquoi Optimex Data et ses experts sont présents aux côtés des organismes du bassin Isérois afin de les aider à mettre en place les obligations du RGPD comme la tenue d’un registre des activités de traitements.