25/05/2018 : Règlement RGPD (GDPR)
Publié le 24 mai 2016, le Règlement Général européen pour la Protection des Données RGPD (GDPR en Anglais) s'applique définitivement le 25 mai 2018 .
Notre cabinet vise la conformité au RGPD pour son propre fonctionnement et accompagne ses clients dans leur mise en conformité au RGPD.
>> Le Texte Officiel RGPD sur le site du Conseil Européen...
Les principes majeurs de ce règlement :
• Chaque entreprise, association, institution Européenne doit se mettre en conformité pour l’ensemble des données personnelles qu’elle manipule. Il ne s’agit pas d’une certification qui porte sur les logiciels ou les outils utilisés par l’entreprise mais bien d'une démarche et d'une responsabilité de l’entreprise. Même les informations détenues dans des dossiers « papier » sont concernées.
• Une donnée personnelle c’est :
- Ce qui permet d’identifier précisément une personne : nom, prénom, téléphone, email, numéros d’identification pour l’administration, la sécurité sociale …
- oute donnée attachée une personne identifiable : adresse personnelle, données physiques, physiologiques, économique, culturelle, voix, image…
• Chaque entreprise, quelle que soit sa taille et son métier, doit s’engager à :
- Identifier toutes les données personnelles qu’elle détient et tenir un registre des objectifs ou finalités qui en justifient la conservation : registre des données personnelles, registre des traitements et des finalités, des durées de conservation nécessaires, et suppression de toutes les données ou traitements non justifiables
- Sécuriser ces données pour éviter qu’elles ne soient utilisées à d’autres fins ou diffusées à d’autres que les utilisateurs légitimes : sécurisation technique et sécurisation des procédures, y compris des sous-traitants (outils ou structures qui traitent des données personnelles pour le compte de l’entreprise)
- Obtenir le consentement explicite des personnes concernées après les avoir informées de ces finalités et des données concernées, et être capable de rectifier, supprimer ou restituer les données personnelles à la demande d’une personne concernée : consentement explicite, droit à l’oubli, portabilité
- Informer rapidement la CNIL et toutes les personnes concernées en cas d’incident générant une diffusion non contrôlée de ces données (piratage …) : devoir d’information en moins de 72 heures
• Pour mener à bien ce projet, dans l’entreprise, il faut désigner un référent qui gère ce projet, et éventuellement un DPO (Data Protection Officer= responsable des données personnelles) si le métier de l’entreprise consiste à traiter à grande échelle des données personnelles.
Depuis toujours, IDEXA veille à protéger et sécuriser les données qu’elle collecte et traite, pour son propre compte comme au travers des informations qu’elle diffuse.
Nous serons heureux de vous renseigner plus en détails à votre demande.
|