menu
L'expérience de nos cyber-consultants au service de votre organisation

Audit / Conformité au RGPD

La protection des données personnelles est le sujet incontournable de l’année 2018, l’ensemble des entreprises européennes devant se conformer au nouveau règlement européen applicable dès le 25 mai 2018.

L'exploitation de la donnée personnelle est au cœur même du modèle économique des sociétés actuelles (marketing ciblé, réseaux sociaux, cybersurveillance des salariés, lutte contre la fraude...). 

projet-si-securite

Quels impacts sur la vie privée ?

Dorénavant, le responsable de traitement doit tenir compte tout au long de la vie du traitement des impératifs règlementaires dès la conception du système et veiller à maintenir ses engagements et un niveau de sécurité performant grâce à des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

En supprimant en grande partie le système déclaratif des traitements à la CNIL, le RGPD veut responsabiliser les entreprises (principe d’accountability).

Facteurs clés de succès du RGPD

Privacy by Designmore_vert
Le Privacy by Design dès la conception de l'objet connectéclose

Le privacy by design oblige, dès la conception de l’objet, à veiller à ce que le développement se fasse dans le respect des exigences du RGPD. En tant que responsable du traitement de données, le concepteur doit limiter les données traitées aux seules données utiles aux finalités qu’il aura définies, ceci conformément au principe de minimalisation affirmé par le RGPD. Il fixera une durée de conservation justifiée par la finalité ; durée au-delà de laquelle la donnée sera détruite ou anonymisée.

Si l’objet connecté permet la surveillance, le traitement de données sensibles, l’évaluation systématique pouvant présenter un risque pour la vie privée, le fabricant devra mener une étude d’impact afin de limiter les conséquences de son traitement sur la vie privée.

Transparencemore_vert
Exigence de transparence et de loyauté : Information claire des utilisateurs close

La personne concernée doit consentir à la collecte de ses données. Pour consentir librement, l’utilisateur doit disposer de certaines informations :


• Information claire et complète sur la collecte et les conditions d’exploitation des données à caractère personnel. Par exemple, l’utilisateur doit être renseigné sur le devenir des données collectées (transmission à des tiers, identification de ces derniers et finalité d’une telle divulgation, etc.)


• Information relative aux conditions de stockage des données incluant la politique de confidentialité


• Information sur les modalités de suppression des données du dispositif connecté, sur les conditions et les modalités de la portabilité des données


• Mise à disposition simple des coordonnées de contact permettant aux utilisateurs de se renseigner sur les modalités de traitement de leurs données à caractère personnel.


Le fabricant doit veiller au respect en continu des engagements décrits et le consentement de la personne doit pouvoir être retiré à tout moment.

Sécuritémore_vert
Exigence de sécurité de la conservation et des flux de données close

Les mesures de sécurité à mettre en place seront variables. Elles doivent préserver la sécurité des données, empêcher qu’elles soient déformées, endommagées. Les objets connectés doivent être dotés de mesures de sécurité empêchant l’accès aux données collectées ou au dispositif lui-même par des tiers (identification requise, par exemple).

Non seulement le stockage mais encore le flux de données devront être maîtrisés. Précisons que les données doivent être stockées dans un pays disposant d’un niveau de protection adéquate reconnu par la CNIL. 

Toute violation de donnée devra être notifiée à la CNIL voire aux personnes concernées. 

Enfin, le fabricant a l’obligation de veiller au respect des règles par le sous-traitant auquel il pourrait avoir recours.

Droits utilisateurs more_vert
Respect des droits des utilisateursclose

L’utilisateur doit garder le contrôle sur ses données. Il bénéficie d’un droit d’information, d’un droit d’opposition, d’un droit de rectification et de suppression. Le fabricant doit permettre aux utilisateurs un exercice simple de leurs droits.

Le RGPD a également formalisé le droit à l’oubli qui oblige notamment à l’effacement de toutes les données d’une personne mineure au moment de la collecte si elle en fait la demande.

Les données fournies par l’utilisateur ou générées par son activité pourront être réclamées par l’utilisateur. C’est le droit à la portabilité qui renforce la maîtrise de la personne sur ses données. L’objet connecté devra anticiper cette exigence et intégrer un système permettant la récupération des données dans un format standard ou interopérable.

Désignation d'un Data Protection Officer

Dès lors que l'activité de l'entreprise implique par nature un traitement régulier de données à caractère personnel, une surveillance systématique à large échelle des personnes concernées ou consiste dans le traitement de données sensibles, la désignation du DPO est obligatoire.

NOTRE VALEUR AJOUTÉE

CoESSI accompagne ses clients dans la mise en oeuvre du règlement européen en matière de protection de la vie privée (RGPD) ; dans ce cadre, nous leur apportons conseils, expérience et expertise technique.

En fonction de l’étendue des missions, la mise en conformité peut requérir des compétences diverses, d’ordre organisationnel, technique ou juridique. Pour ces raisons, CoESSI a constitué une équipe pluridisciplinaire, et propose une offre complète. Elle s’est associée pour le volet juridique à un avocat spécialisé.

Plus précisément, nous pouvons :

• Assister nos clients dans les spécifications sécurité des objets "Privacy by design"
• Mettre nos clients en conformité avec le RGPD
• Mener des actions de sensibilisation des utilisateurs au RGPD
• Réaliser des audits organisationnels, techniques et juridiques
• Mener les études d’impacts associées aux traitements sensibles
• Apporter une assistance juridique
• Accompagner le futur DPO ou détacher sur site un DPO délégué pour le projet

expand_less