Comment démarrer sa mise en conformité ?

Comment démarrer sa mise en conformité ?

Le coûteux risque oublié du RGPD
Alors que le  » Règlement Général sur la Protection des Données  » ( RGPD) entrera en vigueur en Europe dans moins d’un…cestpasmonidee.blogspot.fr

Cet article présente les étapes importantes, voire prioritaires, d’une démarche Privacy

La réglementation RGPD ou GDPR qui sera applicable le 25 mai 2018 renforce nombres de contraintes qui étaient déjà mises en oeuvre depuis la loi Informatique et Libertés de 1978, en créant de nouvelles contraintes.

La Privacy, c’est la protection de la vie privée dans les systèmes d’information, numérisés ou pas.

D’abord vécu comme une contrainte, les entreprises privées et publiques ont également perçu que protéger la vie privée était un frein à la collecte des données personnelles alors qu’elles représentent un capital fortement valorisé depuis quelques années.

Ne pas protéger les données a des conséquences autrement plus graves : une perte progressive et inéluctable de la confiance des usagers et consommateurs dans l’économie numérique.

Bien avant la réglementation RGPD, la CNIL avait posé cette philosophie basée sur la prévention, la pédagogie, l’écoute, dans l’évolution de la loi Informatique et Libertés, lors de sa révision en 2004, sur la sensibilisation à la protection de la vie privée.

Cette philosophie est désormais inscrite dans la réglementation au travers de la Privacy by default : une prise en compte de la protection de la vie privée dont on collecte les informations par défaut, tout le temps et sur tous les sujets et dont doit s’emparer une organisation privée ou publique pour développer ses activités.

Cela se traduit par la mise en oeuvre de la Privacy by design (protection de la vie privée dès la conception) et PIA ou DPIA (Data Privacy Impact Assessment), pour l’analyse et la gestion des impacts de l’utilisation des données personnelles sur les personnes concernées. Ces nouveaux piliers ne concernent pas que les traitements, ils sont là pour accompagner les organisations à intégrer la protection de la vie privée dans leurs activités.

Ces nouvelles méthodes, comme l’obligation de documentation (Accountability) ou encore les nouveaux droits comme la portabilité, l’effacement des données ou l’oubli, ou encore les exigences plus strictes sur le consentement des personnes doivent être prises en compte rapidement.

Par quoi commencer ?

Effectuez un audit de vos traitements et de vos données numériques et papier (informations personnelles).

Effectuez un audit de vos systèmes d’informations

Croisez-les pour répondre aux premières obligations que sont l’identification de vos traitements (une cartographie) et la capacité à notifier vos failles de sécurité à votre autorité de contrôle.

Si vous avez des sites internet, effectuez un audit de vos cookies et assurez-vous du consentement de vos internautes à ce sujet.

Il vous faudra ensuite auditer chaque traitement et les déclarer dans un registre pour identifier les actions à mettre en oeuvre, pour les amener à une conformité qui protégera votre organisation de sanctions potentielles, ainsi que vos responsables légaux. Vous serez également dans l’obligation de documenter les actions que vous menez, afin d’apporter la preuve de votre engagement pour minimiser les risques que peut vous faire courir la réglementation.

Article original sur Medium.com


Qu'est-ce que la Privacy ?

Qu’est-ce que la Privacy ?

Le mot Privacy signifie “Vie privée”.

C’est une discipline qui régule le marché sur la collecte et la gestion éthique des données à caractère personnel :

  • Elle participe du respect des droits et libertés fondamentales ;
  • Elle interroge les impacts du profilage des individus par les organisations ;
  • Elle garantit une confiance indispensable des personnes dans l’économie numérique.

Cette discipline consiste à faire appliquer des règles strictes de protection des données et d’autre part à responsabiliser les acteurs sur les impacts de cette capacité exponentielle à “ficher “ les individus et l’intégralité de leur vie privée.

C’est cette balance entre le pire et le meilleur que la Loi Informatique et Libertés encadre depuis 1978 et que le RGPD (la nouvelle réglementation sur la protection des données personnelles) régule de façon stricte.

Cette réglementation vise à établir une confiance nécessaire entre des acteurs qui n’ont pas forcément les mêmes objectifs et qui ne partagent pas les mêmes visions de société mais qui doivent évoluer ensemble.

Le RGPD s’appliquera le 25 mai 2018 à toutes les organisations qui collectent des données personnelles de citoyen, nés Européens, directement ou indirectement partout dans le monde.

Pour certaines organisation, les contraintes seront plus importantes que pour d’autres. Pour toutes, les bénéfices seront rapidement plus importants que les investissements.