GDPR ou RGPD… Le Règlement européen sur la protection des données, qui entrera en application le 28 mai prochain, est protecteur pour les citoyens européens, mais source d’inquiétude pour les entreprises. C’est pourquoi nous avons choisi de vous aider en vous listant quelques sources, gratuites, pour vous informer et vous faciliter la vie dans les mois à venir.
Dans une vidéo réalisée en étroite collaboration avec la Cnil, le youtubeur Samson Son (alias Cookie Connecté) explique le RGPD aux professionnels encore peu familiarisés avec ce règlement qui entrera en application le 25 mai prochain.
La vidéo répond aux questions suivantes ?
- « Mon activité est-elle concernée ? »
- « Qu’est-ce que le RGPD va changer pour mon activité ? »
- « Comment me mettre en conformité »
- « Est-ce la fin des déclarations ? »
Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Afin d'anticiper l'entrée en application du RGPD, la Cnil met également à disposition un logiciel libre permettant de réaliser une des grandes étapes de la mise en conformité, obligatoire pour certains traitements de données. Il s’agit de l'analyse d'impact sur la protection des données, PIA ou DPIA (Privacy Impact Assessment). Cet outil constitue donc une alternative gratuite aux applications propriétaires payantes et aux services commerciaux d'acteurs spécialisés.
VOIR AUSSI
Pour aider les professionnels dans la mise en conformité à la loi Informatique et Liberté et au règlement général sur la protection des données, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Le RGDP impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement. Ce guide a pour objectif de vous accompagner, en tant que sous-traitant, dans la mise en œuvre de ces nouvelles obligations. Il pourra être enrichi de toutes les bonnes pratiques remontées par les professionnels.
L’AFCDP (Association Française des Correspondants aux Données Personnelles) est l’association représentative des DPD (Délégués à la protection des données – ou DPO pour Data Protection Officer). Créée en 2004, elle regroupe plus de 2 600 professionnels de la conformité à la loi Informatique et Libertés et au Règlement européen pour la protection des données (RGPD).
L’association propose une « place de marché RGPD » à quelques semaines de l’entrée en application du RGPD. Ce service, totalement gratuit ne nécessite pas la qualité de membre de l’association et vise à faciliter les contacts entre les entreprises qui recherchent un « prestataire RGDP » pour être fin prêts le 25 mai 2018.
L’AFCDP propose également le texte du RGPD commenté et annoté par ses membres.
Afin de soulager les entreprises des contraintes liées à la mise en place de toutes nouvelles obligations, le Medef vous propose un test de préparation et vous aide à évaluer vos connaissances et à vous situer dans la préparation de la mise en œuvre du RGPD.
Proposé sur un mini-site dédié, le test est à destination des dirigeants d'entreprises qui pourront se situer par rapport à cet enjeu, comprendre et découvrir les avantages liés au numérique.
Le Clusif (Club de la sécurité de l’information français) est un club professionnel, qui rassemble des offreurs et des utilisateurs issus de tous les secteurs de l’économie. Il a pour finalité d’agir pour la sécurité de l’information, facteur de pérennité des entreprises et des collectivités locales. L’enjeu actuel est donc de contrôler l’exposition au risque général, et au risque associé au système d’information en particulier.
Cette infographie est issue du groupe de travail « Quelle synergie et quel partenariat entre RSSI et DPO? » du Clusif. Elle résume le RGPD (Règlement général sur la protection des données ». Non exhaustive, elle offre toutefois une grille de lecture graphique et synthétique pour découvrir la portée de la règlementation, puis s’y référer ultérieurement.
L'Amrae, l'association française des professionnels de la gestion des risques et des assurances, en partenariat avec CGI Business Consulting, propose un « cahier technique », en vue d’accompagner les entreprises dans leur démarche de prise en compte du RGPD. Ensemble, ils apportent un éclairage sur les questions suivantes :
- Comprendre ce qu’est le RGPD : comment est constitué le Règlement ?
- Quels sont les nouveaux droits introduits ?
- Qui impliquer dans l’organisation afin de se mettre en conformité ?
- Quel rôle pour le Risk Manager dans ce projet ?
- Quelles sont les nouvelles responsabilités ? Quelles fonctions sont impactées ?
- Comment mener à bien son projet « RGPD » et maintenir sa conformité dans le temps ?
Le sujet a également été approfondi lors d’un atelier sur les 26èmes Rencontres du Risk Management.
La première partie est une check-list GDPR avec un guide d’auto-évaluation de 50 questions pour vérifier sa conformité avec le GDPR : 16 questions concernent la gouvernance, 18 questions sur les métiers et enfin 16 questions sur le système d’information et la cyber-sécurité.
La deuxième partie liste plus de 300 mesures et recommandations à mettre en oeuvre pour assurer la conformité du système d’information avec le GDPR, selon une démarche d’identification des composants du SI générant ou véhiculant des données personnelles, puis l’inventaire des risques afférents de chaque composant, et enfin l’identification de mesures et recommandations potentiellement applicables selon la typologie des risques.
Enfin, la troisième partie propose les outils juridiques indispensables pour une application réussie du GDPR : gestion interne par les outils de gouvernance visant à l’auto-responsabilité, démonstration de cette responsabilité via des outils de confiance, et gestion contractuelle adaptée.
Ce rapport est librement téléchargeable sur le site des trois associations.
Vous pouvez aussi télécharger sous forme de fichier séparé (excel) la liste des mesures techniques et recommandations pour un SI conforme.
Comment sensibiliser efficacement sa direction dans un tel contexte de défiance ? C’est l’objectif de l’ouvrage de l’avocat Gérard Haas : expliquer à son boss, avec des arguments simples et convaincants, pourquoi le RGPD est une opportunité de se distinguer de la concurrence tout en conférant aux citoyens européens le contrôle de leurs données personnelles.
Umanis, Lexing, Segeco & IBM propose un livre blanc à propos du nouveau règlement des données personnelles en Europe.
Quelles sont les contraintes à surmonter mais aussi les opportunités à saisir avec ce règlement majeur et fondateur ? Quels sont les chantiers à démarrer dès que possible ? Quels sont les impacts sur l’IoT et le Big Data ? Quelle gouvernance des données faut-il adopter ? Comment peut-on profiter du RGPD pour valoriser ses données ? Quelles solutions, outils et méthodes doit-on mettre en place ?
Ce guide, à télécharger gratuitement, s’adresse à toutes les entreprises. Réalisé par Umanis avec l’aide de ses partenaires Segeco, IBM et le cabinet Lexing Alain Bensoussan avocats, l’e-book recueille également les témoignages de grands groupes comme Volkswagen, Orange, Laboratoires Servier et IBP.
Ces lignes directrices aident non seulement les institutions de l’Union européenne à se conformer à la législation et à appliquer le principe de responsabilité, mais constituent également une source précieuse d’inspiration pour les autres organisations ou peuvent venir compléter les orientations fournies par les autorités nationales chargées de la protection des données.
> Consultez d’autres diaporamas :