Maîtriser les risques liés aux données personnelles

- il y a 6 mois

Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018, renforce la responsabilité des organisations publiques ou privées, qui doivent être en mesure de sécuriser dans la durée les données personnelles.

Protéger les données personnelles des individus

Le RGPD concerne la protection des données personnelles (dont les informations d’identification personnelle), qu’elles soient au format papier ou numérique. Il vise à garantir la sécurité de ces données contre les risques de perte, de vol ou de divulgation. «Il peut s’agir de données personnelles sur les salariés, les adhérents d’une association, les clients, les usagers d’une administration…», précise Jean-Pierre Avellaneda, chargé de l’offre RGPD chez Apave. La CNIL*, régulateur des données personnelles en France, préconise d’acquérir six réflexes: ne collecter que les données strictement nécessaires, être transparent, respecter les droits des personnes (accès, modification, rectification ou suppression des données), garder la maîtrise des données, identifier les risques et sécuriser les données. Le non-respect du RGPD s’accompagne de sanctions sévères: amendes allant jusqu’à 4% du chiffre d’affaires annuel mondial pour les entreprises par exemple.

Toutes les organisations sont concernées

Le RGPD s’applique à toutes les entreprises (et à leur comité d’entreprise), les administrations et les associations qui traitent des données à caractère personnel pour leur compte ou non, dès lors qu’elles sont établies sur le territoire de l’Union européenne ou qu’elles proposent des produits ou services aux résidents européens. «Par effet domino, les sous-traitants sont également concernés, même s’ils ne sont pas directement en contact avec le grand public, souligne Jean-Pierre Avellaneda. Attention, une entreprise a forcément des données personnelles: sur ses salariés, les candidats à l’embauche, etc.»

Une approche organisationnelle

«Comme le recommande la CNIL, Apave propose une approche organisationnelle et non uniquement informatique ou juridique. Il faut évaluer le niveau de risque et déterminer des moyens proportionnés. L’entreprise doit se demander notamment quelles sont les données personnelles récoltées, pourquoi, par qui et comment verrouiller les processus, détaille Jean-Pierre Avellaneda. Une approche organisationnelle permet également de mieux se structurer et de gagner en efficience.» Pour les PME, «nous offrons une prestation concrète, ciblée et rapide, adaptée à leur besoin particulier pour déterminer le niveau de risque et les actions prioritaires à engager. Il s’agit là d’une approche très pragmatique.»

Des prestations adaptées à votre situation

Apave peut proposer un accompagnement complet fondé sur la méthodologie de la CNIL : désigner un pilote, le Data Protection Officer (DPO), cartographier le traitement des données, prioriser les actions à mener, gérer les risques, organiser la conformité, structurer la documentation de la conformité et piloter (gestion du projet, gestion du changement, communication). Par ailleurs, le Groupe offre des formations adaptées à la cellule RGPD, parcours métier DPO interne ou externe, etc. Des prestations de certification de compétences DPO et de système de management des données personnelles seront bientôt disponibles. /

* Commission nationale informatique et libertés

 

Pour en savoir +

www.cnil.fr

Consultez la fiche protection des données personnelles-RGPD sur : www.apave.com

Nous contacter
Partager