fbpx

RGPD

Optimex Data, animation d'ateliers RGPD

Animation d’ateliers RGPD

1280 853 jeremy

La rentrée chez Optimex Data a été riche en animation de conférences et formations RGPD auprès des professionnels du secteur privé et des organismes du secteur public.

Nous sommes revenus avec quelques photos de la conférence animée par Sandrine Rieussec, auprès de l’association BUGEY DEVELOPPEMENT, située dans l’Ain. Un grand merci pour leur sollicitation et l’intérêt des échanges avec les participants.

Au programme :

  • Les obligations et les opportunités du RGPD
  • La mise en pratique avec des exemples concrets
  • Les bonnes pratiques à adapter au quotidien

Pour information, la prochaine conférence aura lieu en Haute-Savoie, le lundi 15 octobre 2018, au Pôle de compétitivité Mont-Blanc Industries à Cluses.

 

Loi informatique et Libertés Optimex Data

Loi informatique et Libertés 3, quoi et quand ?

1380 920 jeremy

Le General Data Protection Regulation (GDPR) est entré en application mais nous sommes toujours en attente de la deuxième refonte de la loi Informatique et Libertés de 1978.

Bien que le Règlement soit directement applicable et ne nécessite théoriquement pas de loi de transposition – contrairement à une directive, ce dernier laisse 56 marges de manœuvre aux États membres de l’Union européenne.

Le contenu contesté de la loi

La nouvelle loi (LIL3) devait initialement entrer en vigueur le 6 mai 2018 mais les députés et les sénateurs n’ont pas réussi à s’entendre sur quelques points. Notamment sur la création d’une dotation spécifique et l’exonération des sanctions pour les collectivités territoriales.

Toutefois, certains points semblent tranchés : l’âge du consentement des mineurs sur Internet (15 ans, article 20 du projet de loi), la création d’un régime d’exception pour les traitements des données génétiques ou biométriques et des numéros de sécurité sociale, la possibilité pour la CNIL de « prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé » (article 1er), l’autorisation des actions de groupe afin d’obtenir réparation des préjudices matériels ou moraux (article 25 du projet de loi).

L’adoption en lecture définitive et la saisine du Conseil constitutionnel

Le 14 mai 2018, l’Assemblée nationale a adopté le projet de loi relatif à la protection des données personnelles en lecture définitive. Deux jours plus tard, le Conseil constitutionnel a enregistré une saisine présentée par au moins 60 sénateurs Affaire (n° 2018-765 DC : loi relative à la protection des données personnelles).

Cette saisine retarde l’entrée en vigueur d’au moins 8 jours et au plus tard, la loi sera en vigueur au 28 juin 2018.

Le contenu de la saisine a été révélé par Nextinpact : au moins 60 sénateurs considèrent que le projet de loi n’est pas conforme à la constitution, notamment pour manque d’accessibilité et d’intelligibilité et d’atteinte au principe de séparation des pouvoirs et à l’autonomie des pouvoirs publics constitutionnels.

Pour en savoir plus, vous pouvez trouver l’intégralité de la saisine en cliquant ici et vous abonner à notre newsletter pour ne rien manquer de l’actualité juridique en matière de protection des données (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour aller encore plus loin, Optimex Data, en tant que DPO externe, tient une veille juridique pour ses clients.

Newsletter

Souscrivez & suivez notre actualité.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

labels & certifications RGDP Optimex Data

Labels et certifications RGPD après le 25 mai 2018, où en est-on ?

1380 921 jeremy

Plusieurs jours se sont passés depuis l’application du RGPD et nous recevons toujours autant de questions concernant les labels et les certifications. Où en est-on ? Qu’est-ce qui est prévu et pour quand ?

Plus de délivrance de labels, place aux certifications

Depuis le 22 mars, la société Optimex Data est fière de figurer parmi les deux seules entreprises labellisées « RGPD » par la CNIL pour ses formations de sensibilisation, sur le Règlement Général sur la Protection des Données et de Délégué à la protection des données (DPO).

 

 

 

 

Toutefois, la CNIL a eu l’occasion de le rappeler, elle ne délivrera plus de nouveau label après le 25 mai 2018 mais les labels obtenus avant cette date restent valables jusqu’à leur date d’expiration.

Le RGPD met en place un mécanisme de certification (articles 42 et s.) afin de démontrer que les opérations de traitement effectuées par les organismes respectent le règlement. Les certifications annoncées par la CNIL vont ainsi lentement remplacer les labels sur un mécanisme de délivrance fondamentalement différent.

Les organismes de certification et les phases de consultation publiques

Le modèle retenu pour la délivrance des certificats n’est pas celui qui était prévu avec les labels sous l’ère de la loi Informatique et Libertés. En effet, ce n’est plus la CNIL qui va délivrer les certifications mais ce sont des organismes indépendants qui auront reçu un agrément par la CNIL ou le COFRAC (Comité français d’accréditation).

Ensuite, comme pour les labels, les candidats se rapprocheront de ces organismes afin de démontrer qu’ils respectent les exigences des référentiels élaborés, après une phase de consultation publique, approuvés par la CNIL et publiés sur son site.

La certification de Délégué à la protection des données (DPO) et les certifications à venir

La première certification à venir est la certification DPO. Elle permettra à un délégué ou futur délégué à la protection des données d’attester de ses connaissances spécialisées du droit et des pratiques en matière de protection des données conformément à l’article 37 du RGPD.

Les référentiels concernant la certification DPO et les agréments d’organismes sont actuellement en cours d’élaboration et font l’objet d’une phase de consultation publique accessible directement depuis site Internet de la CNIL.

La proposition de la CNIL prévoit que la délivrance de la certification DPO sera sanctionnée par un examen écrit puis oral permettant d’évaluer le niveau de connaissance du candidat sur la protection des données.

Concernant les autres certifications, très peu d’informations existent mais nous pouvons imaginer, en accord avec l’esprit du Règlement, que des certifications en matière de registre des traitements et politiques internes (article 24.3), de logiciel informatique et applications (article 25. 3 du RGPD), de sous-traitance (article 28.5), de sécurité (article 32.3) ou encore de transfert en dehors de l’Union (article 46.2 f) seront envisagées.

Optimex Data suit de très près ce sujet. S’il vous intéresse autant que nous, n’hésitez pas à vous abonner à notre newsletter (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).

Pour en savoir plus, visitez notre page sur formations labellisées par la CNIL et notre catalogue des formations.

Newsletter

Souscrivez & suivez notre actualité.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

optimex data formations labellisées CNIL

Labellisation CNIL des formations Optimex Data

1300 867 jeremy

OPTIMEX DATA vient d’obtenir la labellisation pour ces 3 formations :

La CNIL cesse son activité de labellisation et abroge plusieurs référentiels.

A partir du 25 mai 2018, date d’entrée en vigueur du RGPD, la CNIL ne délivrera plus de nouveau label. Seuls les labels Gouvernance et Formation, dont les référentiels ont été mis à jour pour tenir compte du RGPD, pourront offrir à leurs bénéficiaires un argument de conformité.

L’équipe d’Optimex Data qui accompagne les entreprises et institutions du Rhône Alpes dans leurs démarches de mise en conformité au RGPD est fière de leur garantir la qualité & la conformité de ses formations grâce au Label CNIL.

optimex data, dpo conformité rgpd

Nommer un DPO : Comment bien choisir son DPO ?

1380 920 jeremy

Le DPOData Protection Officer ou Délégué à la Protection des Données est un acteur clé dans la mise en conformité des organismes au RGPD (Règlement Général sur la Protection des Données).

Le DPO est obligatoire pour certains secteurs, notamment le secteur public et le domaine de la santé. Il est souvent recommandé dans beaucoup d’activités comme le webmarketing, les organismes en lien avec les particuliers ou les prestataires informatiques. Dès lors qu’une structure traite et stocke des données personnelles, elle doit s’interroger sur l’obligation ou non de désigner un DPO.

Selon le RGPD, les organismes répondant aux 3 critères suivants ont l’obligation de nommer un DPO :

  • Activité de base reposant sur les données: l’organisme peut réaliser ses objectifs en traitant absolument les données personnelles dont elle dispose (comme c’est le cas pour un hôpital qui traite les données médicales de ses patients)
  • Traitement à grande échelle: en fonction du nombre de personnes concernées, le volume de données (ou le spectre des catégories de données), la durée de l’activité de traitement et l’étendue géographique de l’activité permettent d’identifier si le traitement répond au critère de « grande échelle »
  • Suivi régulier: il faut regarder la fréquence du traitement des données, s’il est récurrent ou marginal.

Qui peut être DPO ?

Dès lors qu’un organisme a l’obligation de nommer un DPO, il faudra s’interroger sur « Qui peut prétendre à être désigner DPO ». La nomination du DPO est précisée dans les articles 37 à 39 du Règlement.

Tout d’abord, c’est un nouveau métier qui nécessite différentes compétences : juridiques, organisationnelles et informatiques. La personne désignée en tant que DPO sera le chef d’orchestre de la mise en conformité RGPD de l’entité, avec les missions suivantes :

  • Informer et Conseiller
  • Contrôler le respect du RGPD
  • Etre un point de contact avec la CNIL
  • Encadrer la documentation et les procédures

Ensuite, il faut veiller à désigner en tant que DPO une personne neutre et indépendante, afin de veiller à l’absence de conflit d’intérêt. L’intégrité et l’éthique professionnelle du DPO sont des qualités intrinsèques qui devront caractériser le DPO. Le DPO peut être un membre du personnel ou un prestataire externe.

Comment désigner un DPO ?

Dès lors que l’organisme a choisi son DPO, il convient de s’assurer que le DPO aura à sa disposition les moyens nécessaires pour exercer ses missions, qu’il aura la capacité d’agir en toute indépendance, en plus des compétences requises en expertise juridique, technique et organisationnelle.

La désignation du DPO est faite en ligne, sur le site de la CNIL, à l’aide d’un formulaire à remplir directement depuis le site internet : https://www.cnil.fr/fr/designation-dpo

Depuis ce formulaire en ligne « Désignation DPO », il sera possible de préciser si le DPO est salarié de la structure ou si le DPO est un prestataire externe.

Conférences & salons Optimex Data, agence spécialisée dans la protection des données & conformité RGPD

Conférences RGPD Rhône Alpes

1300 867 jeremy

Optimex Data participe régulièrement à des salons, forum & ateliers et intervient dans des conférences RGPD Rhône Alpes dédiées à la protection des données & à la conformité au règlement Européen.

Après être intervenu à …

    • Inovallée, parc technologique installé sur les territoires des communes de Meylan et de Montbonnot,
    • Digital League, cluster des entreprises de la filière numérique en Auvergne-Rhône-Alpes,
    • et auprès d’associations d’associations professionnelles diverses,

L’agence continuera d’intervenir lors de conférences RGPD Rhônes Alpes ces prochains mois afin de présenter le règlement européen, ses enjeux, ses obligations aux dirigeants d’entreprises de la région.

L’agenda …

    • AMI Association des Maires de l’Isère : le 7 mars
    • E-VA société de services informatiques aux entreprises à Annecy : le 7 mars
    • FOLDER société d’organisation & gestion des systèmes d’informations : journée découverte le 8 juin
    • Puis en avril auprès des communes rattachées aux Communautés de Communes du Territoire Rhône-Alpes (dates à venir sur mars/avril)

Pour rappel, Optimex Data est une agence spécialisée dans la protection des données implantée au coeur du Rhône Alpes et proposant un catalogue de solutions dédiée à la conformité RGPD : Audit, formations, DPO internes & externes.

L’agence propose via ses permanences juridiques des entretiens de 30 minutes gratuits, personnalisés, confidentiels & sans engagement aux dirigeants qui souhaitent savoir si leur organisme entre dans le champ d’application et le cas échéant les actions à mettre en place.

 

 

Règlement général sur la protection des données, Optimex Data vous accompagne dans la mise en conformité

Règlement Général sur la Protection des Données (RGPD) : J-100

1280 735 jeremy

Encore 100 jours avant l’application du règlement général sur la protection des données – RGPD et tout s’accélère.
Où en êtes-vous ? Il est temps de faire le point !

Je n’ai encore rien fait pour mon organisme :

Il est encore temps d’initier une démarche de conformité. En effet, le 25 mai 2018 n’est pas une date couperet pour la CNIL. Toutefois, il vous sera demandé (par la CNIL, par vos clients, par vos collaborateurs) d’indiquer les mesures que vous avez initié pour répondre aux exigences du Règlement.

Formation, audit des traitements, registre des traitements, procédures internes, révisions des contrats (sous-traitance), garantie des droits des personnes, désignation d’un DPO (Data Protection Officer), analyses d’impact sont autant de mesures qui peuvent vous permettre de démontrer votre bonne foi.

J’ai initié une démarche de conformité :

Vous avez un projet RGPD ? Vous vous êtes formé au règlement général sur la protection des données ? Vous avez effectué un audit des traitements de votre organisme ? Vous êtes sur la bonne voie. La conformité pour le 25 mai 2018 est possible. Vérifiez tout de même que vous êtes bien accompagné sur tous les plans : juridique, organisationnel et informatique.

Je suis déjà en conformité :

La protection des données personnelles est bien intégrée au sein de votre organisme. Vos équipes sont formées, vous avez désigné une personne chargée de la conformité au RGPD et vous tenez un registre des traitements. Vous avez révisé vos contrats avec vos sous-traitants (notamment ceux en mode SaaS) et vous communiquez à vos clients, vos partenaires et vos collaborateurs les garanties que vous présentez en matière de protection des données. Bravo, vous êtes en conformité avec les exigences du RGPD et vous êtes prêt pour le 25 mai !

Pour ceux qui n’ont pas encore initié de démarche de conformité ?

Pas de panique : toute l’équipe d’Optimex Data est à votre disposition pour vous accompagner dans votre projet de conformité au RGPD.

Vous ne savez pas par où commencer ?

Commentez ce post avec votre adresse e-mail et recevez notre livre blanc ! Il répond aux questions les plus fréquemment posées à propos du règlement général sur la protection des données et vous indique les mesures à mettre en œuvre.

Vous souhaitez bénéficier d’un projet règlement général sur la protection des données ?

Inscrivez-vous à notre permanence juridique en ligne GRATUITE en cliquant ici et posez vos questions à nos juristes directement par téléphone;

Vous souhaitez initier une démarche de conformité, bénéficier d’un accompagnement juridique ou désigner un DPO externalisé / mutualisé ?

Contactez-nous : contact@optimex-data.fr

conférence Optimex Data agence spécialisée dans la protection des données à inovallee

Conférence RGPD

960 540 jeremy

Comment se préparer sereinement à une mise en conformité ?

Merci à Inovallée d’avoir permis à Covateam et Optimex Data d’intervenir sur la thématique du RGPD, ce jeudi 11 janvier.

Un déjeuner pour démystifier ce Règlement et répondre de manière concrète aux questions de tous les participants, aussi bien sur des enjeux juridiques, opérationnels et informatiques.

Une conférence riche en échanges avec un peu plus de 40 personnes intéressées par la protection des données. Merci à tous d’être venus aussi nombreux !

Au programme …

RGPD, quatre lettres qui font beaucoup réagir avec l’arrivée du Règlement Général sur la Protection des Données (RGPD), dont l’entrée en vigueur est prévue le 25 mai 2018.

La réforme de la protection des données poursuit trois objectifs :

    • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
    • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
    • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Si certaines entreprises ont déjà engagé des actions pour s’y conformer au mieux, il n’est pas évident pour la plupart d’entre vous de se retrouver parmi tout ce qui est dit autour de ce règlement européen !

Un temps fort pour comprendre ce qui va changer…

Inovallée vous propose un déjeuner d’échanges animé par Optimex Data, en partenariat avec Covateam, pour démystifier ce Règlement, et répondre de manière concrète à vos questions ! Venez découvrir des solutions opérationnelles pour la mise en conformité de votre entreprise avec le RGPD :

Rendre compréhensible les exigences juridiques du règlement
Comprendre les solutions juridiques, organisationnelles et techniques à mettre en place

Intervenants :

OPTIMEX DATA : agence spécialisée dans la protection des données et l’accompagnement des entreprises dans le RGPD

COVATEAM : une équipe d’experts en temps partagé spécialisée dans l’évolution des systèmes d’information

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

Une assurance pour protéger ses données personnelles ?

1920 1280 jeremy

Avec la mise en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les compagnies d’assurances proposent des nouvelles offres aux entreprise pour protéger leurs données personnelles.

En quoi consiste ces offres d’assurance ?

Ces prestations portent différents noms (assurance cyberprotection, assurance protection numériques, assurance cybercriminalités…) et couvrent principalement :

  • Les atteintes aux données et programmes de l’entreprise
  • Les atteintes aux données personnelles des clients
  • Les tentatives de cyber-extorsion de fonds
  • Les piratages informatiques et vol de données
  • La e-reputation de l’entreprise

En souscrivant à cette assurance, votre entreprise peut être indemnisée entre autres sur :

  • Les frais de reconstitution des données de l’entreprise
  • Les frais de restauration des données informatiques des tiers
  • Les frais d’expertise en vue d’identifier l’origine de l’atteinte
  • Les notifications aux clients concernés

Prévenir et pas seulement guérir ?

Il est judicieux de souscrire à une assurance contre les cyberattaques, mais il est primordial d’anticiper ces risques afin d’adopter les meilleurs comportements le jour où l’incident se produit.

Nous sommes tous assurés contre le vol, et la plupart d’entre nous avons mis en place un système de télésurveillance.

Nous sommes tous assurés en Responsabilité Civile, et nous avons tous mis en place des contrats clients pour définir au plus juste notre relation client et nos engagements respectifs.

Demain, les entreprises seront de plus en plus assurées contre les cyber-attaques, et les mieux organisées auront anticipé la mise en conformité de leur entreprise avec le RGPD. En effet, anticiper les failles et les risques encourus concernant la protection des données personnelles est une évidence pour tous les organismes sensibilisés et moteurs dans la protection des données personnelles.

Plusieurs éléments sont à prendre en compte :

  • La sensibilisation du personnel pour adopter les meilleurs comportements dans leur quotidien
  • La mise en place de procédures internes pour savoir comment réagir en cas de problème détecté (qui informer ? comment informer ? quand informer ?)
  • Une étude d’impact concernant les données personnelles gérées par l’entreprise

De façon plus générale, le RGPD préconise d’avoir une vision d’ensemble des données traitées dans l’entreprise, grâce à la mise en place d’un registre des traitements. Pour cela, il est fortement recommandé, voire obligatoire, de nommer un Data Protection Officer (DPO) pour orchestrer la mise en place du RGPD et garantir la conformité de votre entreprise.

Optimex Data est une agence spécialisée dans la protection des données et accompagne les entreprises dans la nomination d’un DPO en interne ou dans l’externalisation de la mission de DPO.

Optimex Data agence spécialisée dans la protection des données & la mise en conformité RGPD

RGPD – Vous avez dit « mesures techniques et organisationnelles » ?

1920 1280 jeremy

Dans le Règlement Général sur la Protection des Données, une notion est présente au sein de quelques articles, c’est la notion de « mesures techniques et organisationnelles ».

Que doit-on entendre par cette notion et pourquoi a-t-elle l’air de fasciner toute la toile ?

Par « mesures techniques », il faut entendre les mesures que votre prestataire de service informatique vous propose lorsque vous décidez de sécuriser vos données. C’est par exemple :

  • Le chiffrement des données confidentielles
  • La gestion des droits d’accès,
  • Les outils de lutte contre les intrusions extérieures dans le réseau (firewall, anti-virus)
  • La politique des mots de passe (complexité, changement régulier)
  • La protection via des flux sécurisés (TSL/SSL, https, sftp)

Par « mesures organisationnelles », il faut entendre les mesures de confidentialité et de protection de la vie privée que les agences spécialisées comme Optimex Data proposent. C’est par exemple :

  • Procédure de cartographie des données
  • Déploiement d’une solution de data management
  • Revue des contrats (sous-traitants, partenaires, salariés, clients)
  • Sensibilisation/formation des équipes métiers et IT
  • Tenue du registre des activités de traitement
  • Politique de minimisation des données (Privacy by design)
  • Analyse de risque (PIA/EIVP)
  • Gestion des droits des personnes

Afin d’être en conformité avec le RGPD, il est évident que le responsable de traitement va devoir passer par des solutions techniques de sécurité. Toutefois, il est important qu’il prenne conscience que le RGPD est un texte juridique qui impose des obligations liées à la confidentialité et à la vie privée.

Optimex Data souhaite rappeler à tous que le RGPD et la protection des données à caractère personnel, c’est essentiellement et avant tout, la mise en œuvre de mesures organisationnelles au sein de l’organisme afin de préserver la confidentialité et la vie privée des personnes concernées.