fbpx

Opinion

A quel moment devez-vous réaliser une analyse d’impact ?

A quel moment devez-vous réaliser une analyse d’impact ? 1260 840 jeremy

L’analyse d’impact relative à la protection des données (PIA) est une procédure de contrôle fixée par l’article 35 du RGPD. Elle intervient lorsque le traitement de données personnelles mis en place par un organisme (privé ou public) est susceptible de présenter un risque important pour les droits et libertés des individus concernés par ce même traitement. L’analyse d’impact RGPD doit être mise en œuvre en amont du traitement en question, pour ensuite être mis à jour en fonction de son développement.

Un « risque sur la vie privée » est un scénario décrivant un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) et toutes les menaces qui permettraient qu’il survienne.


Comment déterminer le caractère obligatoire de l’analyse d’impact ?

L’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (ex. traitement de données de localisation à large échelle) soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 tels que : la surveillance automatique, la collecte de données sensibles, la collecte de données concernant des personnes vulnérables, etc…

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL (ex. traitement mis en œuvre uniquement à des fins de ressources humaines), lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.


Comment réaliser une analyse d’impact ?

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD. Le logiciel permet de suivre une procédure bien définie notamment effectuant une description détaillée du traitement, en évaluant les risques et impacts sur les droits et libertés des personnes concernées et enfin en mettant en place des mesures de sécurité et garanties pour diminuer ce risques. Aucune obligation de publication n’est demandée. Toutefois, si suite à l’analyse d’impact, les risques pour la sécurité des données restent élevés, le rapport doit être transmis à la CNIL. Cette dernière peut également initier cette vérification en demandant elle-même à avoir accès à ce rapport.


Quels sont les avantages ?

La réalisation d’une analyse d’impact est un bon moyen pour les entreprises de réduire les craintes, les inquiétudes des personnes concernées quant à l’utilisation de leurs données personnelles. Elle offre également un cadre de travail précis pour parvenir à rester conforme aux exigences du RGPD et aux recommandations de la CNIL. Enfin, c’est une preuve de professionnalisme qui ne peut qu’être bénéfique auprès des partenaires, clients, administrés …


Quels risques encourus en cas de non-respect des règles en matière d’analyse d’impact ?

En cas de non-respect des règles relatives aux analyses d’impact posées par l’article 35 du RGPD, la sanction peut être est exemplaire. En effet, l’amende peut atteindre jusqu’à dix millions d’euros. Pour une entreprise, le montant retenu correspond à 2 % des chiffres d’affaires réalisés précédemment. La somme retenue étant la plus élevée.

 

L’anonymisation : Rendre impossible toute re-identification d’une personne

L’anonymisation : Rendre impossible toute re-identification d’une personne 1260 840 jeremy
Qu’entend-on par anonymiser ?

L’anonymisation est une technique permettant d’empêcher de manière irréversible l’identification d’une donnée. L’anonymisation consiste à changer le contenu ou la structure même des données, de sorte que toutes les informations directes ou indirectes pouvant permettre l’identification d’une personne soient supprimées ou modifiées. Anonymiser une donnée suppose donc la suppression de l’identité de la personne à qui cette donnée se rapporte, rendant donc impossible la ré-identification de la personne à partir de cette donnée, et ceci même après traitement.


Pourquoi anonymiser les données ?

Cette technique ouvre des potentiels de réutilisation des données initialement interdits du fait du caractère personnel des données exploitées, et permet ainsi aux acteurs d’exploiter et de partager leur « gisement » de données sans porter atteinte à la vie privée des personnes. Elle permet également de conserver des données au-delà de leur durée de conservation.

Le RGPD ne s’applique pas aux données anonymisées dans la mesure où l’utilisation de ces données n’ont pas d’impact sur les droits et libertés des personnes concernées.


Quelles différences avec la pseudonymisation ?

La pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. En pratique, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. En pratique, il est toutefois bien souvent possible de retrouver l’identité de ceux-ci grâce à des données tierces. L’opération de pseudonymisation est également réversible, contrairement à l’anonymisation.


Quels procédés utilisés pour anonymiser les données ?

Deux grandes méthodes existent pour anonymiser les données. Il s’agit de :

– La randomisation : cette méthode permet la destruction du lien entre la donnée et la personne, par l’emploi de techniques telles que la troncature, la substitution, la suppression ou la mise à blanc.

– La généralisation : cette méthode se caractérise par la dilution de la donnée, ou sa généralisation par modification de sa précision, de son échelle et de sa grandeur.


Comment s’assurer que l’anonymisation est effective ?

Les autorités de protection des données européennes définissent trois critères qui permettent de s’assurer qu’un jeu de données est véritablement anonyme :

Individualisation :

    • ll ne doit pas être possible d’isoler un individu dans le jeu de données
    • Ex : une base de données de CV où seuls les nom et prénoms d’une personne auront été remplacés par un numéro (qui ne correspond qu’à elle) permet d’individualiser cette personne. Dans ce cas, cette base de données est considérée comme pseudonymisée et non comme anonymisée.

Corrélation :

    • Il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu 
    • Ex : une base de données cartographique renseignant les adresses de domiciles de particuliers ne peut être considérée comme anonyme si d’autres bases de données, existantes par ailleurs, contiennent ces mêmes adresses avec d’autres données permettant d’identifier les individus.

Inférence :

    • Il ne doit pas être possible de déduire, de façon quasi certaine, de nouvelles informations sur un individu.
    • Ex : si un jeu de données supposément anonyme contient des informations sur le montant des impôts de personnes ayant répondu à un questionnaire, que tous les hommes ayant entre 20 et 25 ans qui ont répondu sont non imposables, il sera possible de déduire, si on sait que M. X, homme âgé de 24 ans, a répondu au questionnaire, que ce dernier est non imposable.

Quelle utilisation du numéro de sécurité sociale

Quelle utilisation du numéro de sécurité sociale 1260 840 jeremy

Le numéro d’inscription des personnes (NIR), plus couramment appelé « Numéro de sécurité sociale » est une donnée considérée comme « sensible » par le droit français. En effet, c’est un numéro personnel unique attaché à chaque personne et permettant ainsi son identification sans aucune ambiguïté. Sa collecte et son utilisation doit donc faire l’objet d’une nécessité ainsi que de mesures de protection particulières afin de garantir la protection des données personnelles.

Or, il était difficile de savoir en pratique dans quelle mesure une entreprise pouvait ou avait besoin d’utiliser ce fameux NIR, tant nous avions l’habitude de l’utiliser, notamment sur les fiches de paye du personnel. Pour pus d’information sur l’utilisation du numéro de sécurité sociale, vous pouvez consulter notre précédente Newsletter de mars 2020. (que vous pouvez consulter en cliquant ici)

Le Décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire est venu clarifier la situation en établissant une liste limitative des acteurs et des finalités pour lesquels le NIR peut être utilisé.

Il détermine donc 4 secteurs pour lesquels le NIR peut être utilisé ainsi que des acteurs s’y rattachant :

  • pour la réalisation de missions en matière de sécurité sociale: Pôle Emploi, de la Caisse des dépôts et consignation, de la Caisse nationale de sécurité sociale ou d’assurance vieillesse.
  • pour la réalisation de missions en matière d’action sociale: les Collectivités territoriales, les maisons départementales ou les organismes versant les rémunérations ou les aides à l’emploi et à la formation.
  • pour la réalisation de missions en matière de prévoyance: organismes chargés de l’assurance maladie ou retraite complémentaire.
  • pour la réalisation de missions à des fins sanitaires et médico-sociales : les établissements ou services prenant en charge des mineurs et des majeurs de moins de vingt et un ans, les établissements ou services d’enseignement qui assurant une éducation adaptée et un accompagnement social ou médico-social aux mineurs ou jeunes adultes handicapés ou présentant des difficultés d’adaptation, les centres d’action médico-sociale précoce ou encore les établissements ou services mettant en œuvre les mesures éducatives ordonnées par l’autorité judiciaire par exemple.

Vous pouvez consulter la liste de l’ensemble des acteurs et des finalités de traitement par secteur directement sur le site de la CNIL.

Le numéro de sécurité sociale dans les fiches de paie

Le numéro de sécurité sociale dans les fiches de paie 960 640 jeremy

L’établissement des fiches de paie de mars fait l’objet de beaucoup de questions au regard de la crise sanitaire, et de la mise en place du chômage partiel. Nos clients nous interrogent souvent sur l’obligation d’afficher ou non le numéro de sécurité social sur les bulletins de salaire.

Afin de répondre à cette question, nous pouvons nous appuyer sur plusieurs réglementations à commencer par le Code du travail.

En effet, l’article R3243-1 du Code du Travail précise toutes les mentions devant obligatoirement figurer sur le bulletin de salaire à savoir : nom du salarié, emploi du salarié et sa position dans la classification conventionnelle.

En revanche, l’article R32243-4 dudit Code précise les mentions ne pouvant pas apparaitre sur le bulletin de paie telles que l’exercice du droit de grève et l’activité de représentation des salariés.

En d’autres termes, le numéro de sécurité sociale ne figure ni dans les mentions obligatoires ni dans les mentions interdites.

L’entrée en vigueur du décret n°2019-341 du 19 avril 2019 est venu apporter une précision essentielle quant à l’utilisation du numéro de sécurité sociale.

En vertu du décret n°2019-341 du 19 avril 2019, l’utilisation du numéro de sécurité sociale a été strictement encadré puisqu’il vient abroger le décret (n°91-1404) du 27 décembre 1991 qui autorisait la mention du numéro de sécurité sociale sur les documents édités par l’employeur.

Ce nouveau décret précise uniquement que le numéro de sécurité sociale ne peut être utilisé que pour les déclarations d’embauche et le traitement automatisé de la paie et de la gestion du personnel.

Au regard de ce vide juridique ne permettant pas de trancher effectivement sur l’utilisation ou non du numéro de sécurité sociale, nous vous recommandons de le supprimer de vos bulletins de salaire dans la mesure où il n’est pas nécessaire de l’afficher et également afin de respecter le principe de minimisation énoncé par le RGPD.

videosurveillance

Vidéosurveillance : Comment éviter une mise en demeure de la CNIL ?

Vidéosurveillance : Comment éviter une mise en demeure de la CNIL ? 1280 854 jeremy

La vidéosurveillance a fait l’objet, récemment, de nombreuses mises en demeure ou de sanctions de la part de la CNIL. En effet, le 18 juin 2019 UNIONTRAD COMPANY a été condamné à 20 000€ d’amende pour vidéosurveillance excessive des salariés. Le 24 juillet 2019, la CNIL met en demeure l’Institut des Techniques Informatiques et Commerciales (ITIC) pour avoir mis en place un système de vidéosurveillance excessif. Aussi, le 18 décembre 2019, la Présidente de la CNIL a mis en demeure cinq établissements scolaires pour vidéosurveillance excessive.

Alors, quelles sont les règles à respecter pour éviter une mise en demeure ou une sanction de la CNIL ?

Vidéosurveillance au travail 

Avant tout propos, un employeur doit définir un objectif légal et légitime avant toute installation de caméra dans ses locaux. Cet objectif légal et légitime peut être : la sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d’agressions.

Voici les règles à respecter lors de l’installation de dispositif de vidéosurveillance :
  • Les caméras peuvent être installées au niveau des entrées et sorties des bâtiments, des issues de secours et des voies de circulation. Elles peuvent aussi filmer les zones où de la marchandise ou des biens de valeur sont entreposés.
  • Elles ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulières tels que les employés manipulant de l’argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier ou encore dans l’entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires.
  • Les caméras ne doivent pas non plus filmer les zones de pause ou de repos des employés, ni les toilettes.
  • Enfin, elles ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu’il ne mène qu’à ces seuls locaux.

Seules les personnes habilitées par l’employeur pourront visionner les images enregistrées.

En cas d’accès aux images à distance, l’employeur est tenu d’en sécuriser les accès notamment via un mot de passe robuste, une connexion sécurisée. Cet accès à distance ne doit jamais être utilisé pour surveiller les employés.

L’employeur devra définir une durée de conservation des images de vidéosurveillance. En principe, cette durée ne doit pas excéder un (1) mois.

Les personnes concernées (employés et visiteurs) devront être informées, au moyen de panneaux affichés en permanence, de façon visible, dans les lieux concernés, qui comportent a minima, outre le pictogramme d’une caméra indiquant que le lieu est placé sous vidéoprotection : les finalités du traitement installé ; la durée de conservation des images ; le nom ou la qualité et le numéro de téléphone du responsable/du délégué à la protection des données (DPO) ; l’existence de droits de la personne concernée.

Quelles sont les formalités à accomplir en amont de l’installation ?

Si les caméras filment un lieu non ouvert au public, aucune formalité n’est exigée auprès de la CNIL. En revanche, si les caméras filment un lieu ouvert au public, le dispositif doit être autorisé par le préfet du département.

Les instances représentatives du personnel devront être informées et consultées avant toute décision d’installation de caméras de vidéosurveillance.

A titre informatif, dès lors qu’un dispositif de vidéosurveillance conduit à la « surveillance systématique à grande échelle d’une zone accessible au public » une analyse d’impact devra être effectuée.

Pour en savoir plus, vous trouverez sur le site de la CNIL toutes les informations relatives à la vidéosurveillance au travail, dans les magasins, sur la voie publique, en cliquant sur ce lien suivant.

Optimex Data Post : BIOMETRIE AU TRAVAIL…ce qu’en pense la CNIL

Biométrie au travail … ce qu’en pense la CNIL

Biométrie au travail … ce qu’en pense la CNIL 1380 920 jeremy

La CNIL a lancé une consultation publique sur la thématique « Biométrie sur le lieu de travail », ouverte jusqu’au 1er octobre 2018.

Optimex Data s’engage auprès de la CNIL pour travailler sur ce beau projet. Notre équipe de juristes s’est penchée sur le projet du futur règlement type et était ravie de transmettre ses idées et remarques à la CNIL.

L’objectif est de déterminer ce qui est autoriser et interdit en matière d’utilisation de la biométrie au travail. Pour faire simple, la mise en place de traitements portant sur des données biométriques est en principe interdite. Cependant, certaines exceptions sont autorisées. Et ce sont sur des exceptions que le débat est ouvert et que la CNIL lance la consultation publique.

Comme expliqué sur le site de la CNIL, l’une de ces exceptions concerne les traitements « nécessaires aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail (…) dans la mesure où ce traitement est autorisé par (…) le droit d’un État membre ».

Concrètement, le traitement de données biométriques n’est autorisé que dans les situations suivantes :

  • Le contrôle des accès à l’entrée et dans les locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation, à l’exclusion de tout contrôle des horaires des employés
  • Le contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés de l’organisme, à l’exclusion de tout contrôle du temps de travail de l’utilisateur.

Vous l’aurez compris, il est interdit d’utiliser des données biométriques pour contrôler les horaires de travail des salariés.

Nous attendons avec impatience les conclusions de cette consultation publique, qui seront soumises à l’examen de la séance plénière de la Commission.

Conseils de la CNIL avant les départs en vacances

Conseils de la CNIL avant les départs en vacances 975 500 jeremy

A la veille des départs en vacances, la CNIL livre ses conseils pour s’assurer des vacances paisibles.

En effet, les cambrioleurs se servent aujourd’hui du web et récoltent les données & informations communiquées sur les réseaux sociaux notamment pour organiser leurs cambriolages.

La CNIL vous aide à anticiper et vous protéger de ce danger.

Lire l’article

labels & certifications RGDP Optimex Data

Labels et certifications RGPD après le 25 mai 2018, où en est-on ?

Labels et certifications RGPD après le 25 mai 2018, où en est-on ? 1380 921 jeremy

Plusieurs jours se sont passés depuis l’application du RGPD et nous recevons toujours autant de questions concernant les labels et les certifications. Où en est-on ? Qu’est-ce qui est prévu et pour quand ?

Plus de délivrance de labels, place aux certifications

Depuis le 22 mars, la société Optimex Data est fière de figurer parmi les deux seules entreprises labellisées « RGPD » par la CNIL pour ses formations de sensibilisation, sur le Règlement Général sur la Protection des Données et de Délégué à la protection des données (DPO).

 

 

 

 

Toutefois, la CNIL a eu l’occasion de le rappeler, elle ne délivrera plus de nouveau label après le 25 mai 2018 mais les labels obtenus avant cette date restent valables jusqu’à leur date d’expiration.

Le RGPD met en place un mécanisme de certification (articles 42 et s.) afin de démontrer que les opérations de traitement effectuées par les organismes respectent le règlement. Les certifications annoncées par la CNIL vont ainsi lentement remplacer les labels sur un mécanisme de délivrance fondamentalement différent.

Les organismes de certification et les phases de consultation publiques

Le modèle retenu pour la délivrance des certificats n’est pas celui qui était prévu avec les labels sous l’ère de la loi Informatique et Libertés. En effet, ce n’est plus la CNIL qui va délivrer les certifications mais ce sont des organismes indépendants qui auront reçu un agrément par la CNIL ou le COFRAC (Comité français d’accréditation).

Ensuite, comme pour les labels, les candidats se rapprocheront de ces organismes afin de démontrer qu’ils respectent les exigences des référentiels élaborés, après une phase de consultation publique, approuvés par la CNIL et publiés sur son site.

La certification de Délégué à la protection des données (DPO) et les certifications à venir

La première certification à venir est la certification DPO. Elle permettra à un délégué ou futur délégué à la protection des données d’attester de ses connaissances spécialisées du droit et des pratiques en matière de protection des données conformément à l’article 37 du RGPD.

Les référentiels concernant la certification DPO et les agréments d’organismes sont actuellement en cours d’élaboration et font l’objet d’une phase de consultation publique accessible directement depuis site Internet de la CNIL.

La proposition de la CNIL prévoit que la délivrance de la certification DPO sera sanctionnée par un examen écrit puis oral permettant d’évaluer le niveau de connaissance du candidat sur la protection des données.

Concernant les autres certifications, très peu d’informations existent mais nous pouvons imaginer, en accord avec l’esprit du Règlement, que des certifications en matière de registre des traitements et politiques internes (article 24.3), de logiciel informatique et applications (article 25. 3 du RGPD), de sous-traitance (article 28.5), de sécurité (article 32.3) ou encore de transfert en dehors de l’Union (article 46.2 f) seront envisagées.

Optimex Data suit de très près ce sujet. S’il vous intéresse autant que nous, n’hésitez pas à vous abonner à notre newsletter (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour en savoir plus, visitez notre page sur formations labellisées par la CNIL et notre catalogue des formations.

Newsletter

Souscrivez & suivez notre actualité.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

Logiciel PIA de la CNIL, testé et approuvé par OPTIMEX DATA !

Logiciel PIA de la CNIL, testé et approuvé par OPTIMEX DATA ! 1920 1280 jeremy

La semaine dernière, la CNIL révélait la version beta de son logiciel open source PIA.

En deux mots, la PIA (ou Private Impact Assessment), c’est l’analyse d’impact sur la protection des données que doit mener chaque responsable de traitement (ou chef d’entreprise) dès lors qu’il se trouve confronté à un traitement de données à risque.

Optimex Data vous livre son retour d’expérience après une semaine d’utilisation du logiciel par ses experts.

Un logiciel gratuit et public, accessible à tous ?

Pour une personne expérimentée dans le domaine de la protection des données, le logiciel est facile à prendre en main car il reprend les guides de la CNIL et les principes généraux du RGPD. Toutefois, on doit souligner qu’il faut en connaître un rayon sur les mesures pouvant être mises en œuvre par les organismes (création d’un comité de suivi, recensement des traitements, plan d’action, mesures de sensibilisation, identification des tiers, des sous-traitants, des contrats et des conventions, etc.). Cela pose question sur la capacité des responsables de traitements (et des sous-traitants) à réaliser une analyse d’impact et sur l’accessibilité du logiciel à tout public.

L’étude d’impact, responsable de traitement ou DPO ?

Comme l’a souligné le G29 (le groupe des CNIL européennes) dans ses lignes directrices relatives au délégué à la protection des données, « il incombe au responsable du traitement, et non au DPD, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données. ».

On se questionne ainsi sur l’utilisation de l’outil qui est somme toute destiné à un utilisateur confirmé dans le domaine de la protection des données. Il est ainsi probable que le responsable de traitement délègue cette tâche à son DPO (Data Protection Officer ou DPD pour Délégué à la Protection des Données).

Le G29 a précisé que : « Le DPD peut jouer un rôle d’assistance du responsable du traitement très important et très utile ». Toutefois, ce dernier n’aura pas la légitimé pour valider le PIA s’il est l’auteur de ses propres recommandations. On peut dire que l’outil confirme les interrogations des experts au sujet de la PIA !

Deux modes pour un logiciel, une distinction peu évidente

Le logiciel est organisé en deux modes, le mode « éditeur » et le mode « validation ». Nous avons trouvé particulièrement difficile de distinguer et de comprendre (du premier essai du moins) la transition automatisée entre ces deux modes.

En principe, le responsable de traitement doit compléter les différents modules (mode « éditeur ») et le DPO ou l’auditeur externe doit critiquer, au regard du RGPD, les mesures et actions mises en œuvre (mode « validation »).

Cependant, on se perd très facilement entre le mode « éditeur » et le mode « validation ». En effet, on ne se rend pas toujours compte du mode utilisé ce qui complique la lisibilité du PIA, notamment lorsque plusieurs corrections sont à apporter.

Le PIA, un outil parfait pour les personnes sensibilisées

Après une mise en place qui peut prendre beaucoup de temps dans les organismes non ou mal préparés à la protection des données, le logiciel de la CNIL s’avère être un outil particulièrement utile pour les responsables de traitements sensibilisés à la protection des données (ou disposant d’un DPO) et ayant adopté (ou initié) une vraie démarche de conformité. On peut notamment extraire un plan d’action et une vue d’ensemble des risques.

Plan d’action – PIA

Optimex Data recommande fortement aux organismes confrontés à des traitements de données, pouvant entraîner des risques sur la vie privée de leurs utilisateurs/clients/usagers/employés, de se pencher sur des solutions adaptées en matière de protection des données.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

Une assurance pour protéger ses données personnelles ?

Une assurance pour protéger ses données personnelles ? 1920 1280 jeremy

Avec la mise en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les compagnies d’assurances proposent des nouvelles offres aux entreprise pour protéger leurs données personnelles.

En quoi consiste ces offres d’assurance ?

Ces prestations portent différents noms (assurance cyberprotection, assurance protection numériques, assurance cybercriminalités…) et couvrent principalement :

  • Les atteintes aux données et programmes de l’entreprise
  • Les atteintes aux données personnelles des clients
  • Les tentatives de cyber-extorsion de fonds
  • Les piratages informatiques et vol de données
  • La e-reputation de l’entreprise

En souscrivant à cette assurance, votre entreprise peut être indemnisée entre autres sur :

  • Les frais de reconstitution des données de l’entreprise
  • Les frais de restauration des données informatiques des tiers
  • Les frais d’expertise en vue d’identifier l’origine de l’atteinte
  • Les notifications aux clients concernés

Prévenir et pas seulement guérir ?

Il est judicieux de souscrire à une assurance contre les cyberattaques, mais il est primordial d’anticiper ces risques afin d’adopter les meilleurs comportements le jour où l’incident se produit.

Nous sommes tous assurés contre le vol, et la plupart d’entre nous avons mis en place un système de télésurveillance.

Nous sommes tous assurés en Responsabilité Civile, et nous avons tous mis en place des contrats clients pour définir au plus juste notre relation client et nos engagements respectifs.

Demain, les entreprises seront de plus en plus assurées contre les cyber-attaques, et les mieux organisées auront anticipé la mise en conformité de leur entreprise avec le RGPD. En effet, anticiper les failles et les risques encourus concernant la protection des données personnelles est une évidence pour tous les organismes sensibilisés et moteurs dans la protection des données personnelles.

Plusieurs éléments sont à prendre en compte :

  • La sensibilisation du personnel pour adopter les meilleurs comportements dans leur quotidien
  • La mise en place de procédures internes pour savoir comment réagir en cas de problème détecté (qui informer ? comment informer ? quand informer ?)
  • Une étude d’impact concernant les données personnelles gérées par l’entreprise

De façon plus générale, le RGPD préconise d’avoir une vision d’ensemble des données traitées dans l’entreprise, grâce à la mise en place d’un registre des traitements. Pour cela, il est fortement recommandé, voire obligatoire, de nommer un Data Protection Officer (DPO) pour orchestrer la mise en place du RGPD et garantir la conformité de votre entreprise.

Optimex Data est une agence spécialisée dans la protection des données et accompagne les entreprises dans la nomination d’un DPO en interne ou dans l’externalisation de la mission de DPO.