Soyez conforme RGPD avec Synapse-O-Coeur

 Dans la catégorie Actualités métier

Synapse-O-Coeur vous conseille et vous accompagne pour être conforme RGPD :

Règlement Général de Protection des Données personnelles,

Ce règlement Européen définit les obligations et les procédures à respecter pour effectuer des traitements sur les données personnelles des citoyens européens

Qu’est ce que RGPD ?

conformité RGPD

  • Remplace l’actuelle directive sur la protection des données personnelles de 1995
  • Entré en vigueur le 24 mai 2016 et sera en application le 25 mai 2018
  • Concerne toutes les administrations, les associations, les entreprises européennes ou entreprises hors UE traitant des données de citoyens européens
  • Applicables de la même manière dans tous les pays, aucune loi nationale ne peut y déroger

Il implique de ce fait toute une série de changements techniques, juridiques ou opérationnels pour toutes les entreprises, petites ou grandes. Êtes-vous prêt ?

Quels sont les objectifs du RGPD ?

Le RGPD n’est pas une directive mais un règlement. Ce qui veut dire qu’il n’y a pas de transposition nationale et que le nouveau règlement est d’effet direct dans chaque loi nationale. Il sera donc directement applicable dans tous les pays d’Europe, dès son entrée en vigueur le 25 mai 2018 pour :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Uniformiser la règlementation pour tous les traitement de données personnelles de tous les citoyens européens

Qu’est ce qu’une DCP : donnée à caractère personnel ?

Toutes données ou information permettant d’identifier directement ou indirectement un citoyen européen

  • Directement : par l’accès à sa fiche sur une base de donnée « numérique » ou sur un document « papier »
  • Indirectement : par une donnée permettant de l’identifier en croisant cette donnée avec d’autres sources d’information (email, image, adresse IP, …)

Le RGPD n’est pas limité à la vie privée : les données professionnelles B2B sont aussi des données à caractère personnel. Toutes les fonctions d’une organisation peuvent être concernées (RH, ventes, SAV, sécurité, HSE, marketing, ….)

Exemples de données à caractère personnel

  • Un nom, un prénom,
  • une photo, des images de vidéo surveillance
  • Une adresse mail, une adresse IP
  • Un n° de téléphone, une adresse postale
  • Une plaque d’immatriculation, n° SS
  • Profession, formations,
  • CV, bulletin de paye

Attention aux données dites « sensibles » : par principe, la collecte et le traitement de ces données sont interdits sauf si la finalité du traitement l’exige avec analyse d’impact et autorisation CNIL. Exemple de données sensibles

  • origines raciales, ethniques,
  • opinions politiques, syndicales, religieuses
  • relatives à la santé ou à la vie sexuelle
  • données génétiques, biométriques
  • infractions pénales, aux condamnation etc.,

Qu’est ce qu’un traitement de données personnelles ?

C’est une notion très large : il s’agit de toutes opérations portant sur des données quel que soit le procédé utilisé (manuel, informatique, électronique, …) comme :

  • La collecte, l’enregistrement, la conservation, la modification, l’extraction
  • La consultation, la communication, le transfert, l’effacement, la destruction

Tout ensemble de données personnelles structurés accessibles selon des critères déterminés constitue un FICHIER de données à caractère personnel

Exemples  de fichiers pouvant contenir des données à caratère personnel :

  • l’armoire dans un bureau contenant les fiches de payes papier
  • une base de données intégrée dans un logiciel ERP, CRM
  • un fichier Excel sur un ordinateur d’un salarié
  • un système d’accès par badge ou une vidéo surveillance
  • un annuaire d’entreprise ou un classeur de cartes de visite
  • une liste de diffusion de campagne marketing
  • un suivi du trafic de site web
  • Les CV issus des recrutements ou les entretiens individuels

Qui est responsable de la conformité RGPD ?

Dans une entreprise le seul responsable de l’application du RGPD est LE CHEF DE L’ENTREPRISE. Sa responsabilité est d’ordre pénale.

Au sein de l’entreprise, pour chaque traitement de données à caractère personnel, un responsable de traitement (RT) doit être nommé en charge de la conformité RGPD. En cas de sous-traitance, cette responsabilité est partagée avec la société sous-traitante.

Un DPO doit également être désigné pour une organisation (SIREN ou SIRET). Ce DPO peut être une personne externe.

Quels risques et quelles sanctions ?

Plusieurs niveaux d’amendes.

  • jusqu’à 2% de son CA ou 10 M€ (ne pas présenter les documentations appropriés (Article 28), ne pas avoir informé les autorités de contrôle et les personnes concernées au sujet d’une violation de données (Article 31 et 32), ou ne pas avoir réalisé une analyse d’impact sur la protection des données (Article 33).
  • jusqu’à 4% du CA ou 20 M€ (violation des principes de base liés à la sécurité des données (Article 5) et des conditions de consentement des consommateurs (Article 7) )

Risques de poursuites judiciaires

Les personnes concernées ont le droit de demander réparation judiciaire contre les responsables du traitement des données et les sous-traitants ainsi que d’obtenir des compensations de leur part pour les dommages causés par ces violations du RGPD.

RGPD : une opportunité pour les entreprises

RGPD, c’est l’occasion d’améliorer vos pratiques pour les rendre plus efficaces et responsables.

  • Repenser, documenter et rationaliser vos process de traitement des données personnelles
  • Mettre à jour vos bases de données, vos mailing listes, vos CRM, etc. en éliminant les doublons, les données obsolètes ou non réglementaires
  • Adopter de bonnes pratiques de gestion des données et de respect du droit des personnes
  • Renforcer la sécurité et la qualité des données

La mise en conformité peut devenir un investissement rentable dans la mesure où vous créez de la valeur supplémentaire pour vos clients. S’ils se sentent en confiance et en sécurité, cela peut vous donner un avantage concurrentiel.

Pourquoi choisir Synapse-O-Coeur pour votre projet RGPD ?

Un projet RGPD est un projet de systeme d’information centré sur la protection des données à caractère personnel.

Nous mettons à votre disposition nos 38 années d’expérience en entreprise (DSI, controle de gestion, stratégie et marketing). Nos actions sont conformes aux recommandations CNIL pour la conformité RGPD en six étapes :

Cnil RGPD 6 étapesNotre prestation RGPD est structurée en différentes phases :

  • sensibilisation et information RGPD de vos équipes
  • diagnostic de votre situation actuelle / principes RGPD
  • cartographie des données à caractere personnel et des traitements associés
  • sécurisation des données sensibles et analyse d’impacts en cas de perte
  • proposition de plan d’actions « conformité RGPD »
  • assistance de votre DPO ou externalisation de cette fonction
  • assistance pour l’obtention de votre label Cnil « Gouvernance RGPD »

Liens utiles :