Suite au webinaire sur le RGPD nous vous proposons une série de quatre articles sur le sujet.
- Origine et périmètre du RGPD
- Données personnelles : ce qu’on peut faire avec et comment le faire
- Les grands principes du RGPD
- Des cas pratiques
Dans ce troisième article, nous allons nous intéresser aux grands principes du RGPD. Nous avons déjà vu l’origine et le périmètre du RGPD, puis le traitement des données personnelles. Enfin, dans un dernier article, nous verrons des exemples types.
- La protection du système d’information doit être faite tant au niveau matériel que logiciel (normes ISO / CEI 20000 et 27001) et tous les incidents critiques doivent être signalés aux personnes concernées et à l’organisme de contrôle et de conseil.
- Un délégué à la protection des données doit exister au sein de l’entreprise, cette fonction peut être externalisée : c’est le référent de la Cnil (en France). Il a le statut d’un salarié indépendant mais non protégé. Il existe des exceptions pour les entreprises de moins de 250 personnes.
- Tout traitement doit de préférence avoir donné lieu à une étude d’impact tant juridique que technique réalisée par un délégué à la protection des données et dans tous les cas un registre des opérations doit être tenu un responsable des traitements.
- Concernant les personnes dont les données personnelles sont traitées, elles doivent être informées de manière claire et intelligible, leur donner la possibilité de consulter, de modifier ou de supprimer une partie ou l’ensemble des informations les concernant (par exemple, les CGU doivent être séparées du consentement), et enfin de pouvoir récupérer celles-ci sous un format ouvert (XML, JSON, CSV, etc.) et documenté, complété par toute métadonnée utile à leur interprétation. Et un droit à l’oubli doit avoir été mis en place de manière automatique.
En résumé, la Cnil a défini six points qui permettent à tout traitement d’être conforme au RGPD (Retrouvez l’article ici)
- Pertinence
- Transparence
- Respect des droits
- Maîtrise
- Gestion des risques
- Sécurité
Quelques liens pour aller plus loin
Outils
- Guide d’hygiène informatique de l’Anssi
- Tutoriel de la Cnil
- Outil de la Cnil pour faire une étude d’impact (peut être adopté aux besoins)
- Délégué à la protection des données (DPO)
- Données personnelles :
Normes et Mooc d’initiation
- Acronymes à connaître pour évaluer la sécurité des offres Cloud
- Normes ISO / CEI :
- Mooc d’initiation :
Article