menu
L'expérience de nos cyber-consultants au service de votre organisation

Audit / Conformité au RGPD

La protection des données personnelles est le sujet incontournable de l’année 2018, l’ensemble des entreprises européennes devant se conformer au nouveau règlement européen applicable le 25 mai 2018.

L'exploitation de la donnée personnelle est au cœur même du modèle économique des sociétés actuelles (marketing ciblé, réseaux sociaux, cybersurveillance des salariés, lutte contre la fraude...). 

Quel est l’impact du RGPD pour mon entreprise ?

En responsabilisant les entreprises responsables de traitements, le RGPD vise à protéger les personnes, mais donne aussi aux entreprises leur chance d’augmenter leur efficacité, d’obtenir la confiance de leurs clients et prospects, de sécuriser leur activité et le patrimoine immatériel que représentent les données personnelles.

C’est pour toutes ces raisons qu’il est important de maîtriser et de respecter les règles relatives à la protection des données.

Le RGPD

Le Règlement Général pour la Protection des Données est un sujet incontournable, dans toute l’Europe. En France, c’est la CNIL qui veille au respect des droits des personnes et toute entreprise doit réaliser et maintenir la documentation de sa conformité à son intention.

Privacy by Designmore_vert
Le Privacy by Design dès la conception de l'objet connectéclose

Le privacy by design oblige, dès la conception de l’objet, à veiller à ce que le développement se fasse dans le respect des exigences du RGPD. En tant que responsable du traitement de données, le concepteur doit limiter les données traitées aux seules données utiles aux finalités qu’il aura définies, ceci conformément au principe de minimalisation affirmé par le RGPD. Il fixera une durée de conservation justifiée par la finalité ; durée au-delà de laquelle la donnée sera détruite ou anonymisée.

Si l’objet connecté permet la surveillance, le traitement de données sensibles, l’évaluation systématique pouvant présenter un risque pour la vie privée, le fabricant devra mener une étude d’impact afin de limiter les conséquences de son traitement sur la vie privée.

Transparencemore_vert
Exigence de transparence et de loyauté : Information claire des utilisateursclose

La personne concernée doit consentir à la collecte de ses données. Pour consentir librement, l’utilisateur doit disposer de certaines informations :


• Information claire et complète sur la collecte et les conditions d’exploitation des données à caractère personnel. Par exemple, l’utilisateur doit être renseigné sur le devenir des données collectées (transmission à des tiers, identification de ces derniers et finalité d’une telle divulgation, etc.).


• Information relative aux conditions de stockage des données incluant la politique de confidentialité


• Information sur les modalités de suppression des données du dispositif connecté, sur les conditions et les modalités de la portabilité des données


• Mise à disposition simple des coordonnées de contact permettant aux utilisateurs de se renseigner sur les modalités de traitement de leurs données à caractère personnel.


Le fabricant doit veiller au respect en continu des engagements décrits et le consentement de la personne doit pouvoir être retiré à tout moment.

Sécuritémore_vert
Exigence de sécurité de la conservation et des flux de donnéesclose

Les mesures de sécurité à mettre en place seront variables. Elles doivent préserver la sécurité des données, empêcher qu’elles soient déformées, endommagées. Les objets connectés doivent être dotés de mesures de sécurité empêchant l’accès aux données collectées ou au dispositif lui-même par des tiers (identification requise, par exemple).

Non seulement le stockage mais encore le flux de données devront être maîtrisés. Précisons que les données doivent être stockées dans un pays disposant d’un niveau de protection adéquate reconnu par la CNIL. 

Toute violation de données devra être notifiée à la CNIL voire aux personnes concernées. 

Enfin, le fabricant a l’obligation de veiller au respect des règles par le sous-traitant auquel il pourrait avoir recours.

Droits utilisateursmore_vert
Respect des droits des utilisateursclose

L’utilisateur doit garder le contrôle sur ses données. Il bénéficie d’un droit d’information, d’un droit d’opposition, d’un droit de rectification et de suppression. Le fabricant doit permettre aux utilisateurs un exercice simple de leurs droits.

Le RGPD a également formalisé le droit à l’oubli qui oblige notamment à l’effacement de toutes les données d’une personne mineure au moment de la collecte si elle en fait la demande.

Les données fournies par l’utilisateur ou générées par son activité pourront être réclamées par l’utilisateur. C’est le droit à la portabilité qui renforce la maîtrise de la personne sur ses données. L’objet connecté devra anticiper cette exigence et intégrer un système permettant la récupération des données dans un format standard ou interopérable.

NOTRE VALEUR AJOUTÉE

CoESSI accompagne ses clients dans la mise en œuvre du RGPD ; nous apportons conseils, expérience et expertise technique pour optimiser votre conformité.

Tout au long de la réalisation des missions, la protection de la vie privée et des données personnelles exige des compétences d’ordre organisationnel, technique ou juridique. CoESSI a donc constitué une équipe pluridisciplinaire qui couvre tous les champs de compétences nécessaires. Elle s’est associée pour le volet juridique à un cabinet d’avocat spécialisé.

Plus précisément, nous pouvons :

  • -  Vous assister sur la Privacy by Design et Privacy by Default, en particulier des objets connectés et de la smart city
  • -  Réaliser des audits et bilans de conformité
  • -  Mettre au point avec vous un plan d’actions de sécurisation et de mise en conformité
  • -  Vous accompagner dans votre mise en conformité RGPD
  • -  Mener des actions de sensibilisation à la sécurité et aux bonnes pratiques de la protection des données auprès de vos équipes
  • -  Mener les études d’impacts (PIA) nécessaires des traitements sensibles et à haut risque
  • -  Accompagner votre DPO ou détacher sur site un DPO externe pour vous conseiller

Désignation d'un Data Protection Officer

Toute entreprise traite régulièrement des données personnelles, en plus ou moins grande quantité ou de nature sensible. Il est dans son intérêt de nommer un délégué à la protection des données : elle peut ainsi se faire accompagner et être conseillée sur sa sécurité et sa mise en conformité. Elle peut le nommer en interne ou choisir un DPO externe, voire mutualisé dans le cadre d’un groupement.

Notre contribution

CoESSI met à disposition des consultants expérimentés en gestion de projets, qui ont pour certains une compétence à prépondérance technique et d’autres à prépondérance juridique, tous expérimentés en organisationnel, formés aux dernières nouveautés des lois et réglementations applicables en matière de protection des données, mais aussi aux problématiques de sécurité et de minimisation des risques liés au numérique.

Devis ou simple demande d'information ?

Notre service commercial répond à toutes vos demandes sous 48h. Un formulaire de contact est mis à votre disposition pour faciliter l'échange.

expand_less