Home » Uncategorized » RGPD – GDPR – Qui de l’œuf ou la poule est arrivé en premier?

RGPD – GDPR – Qui de l’œuf ou la poule est arrivé en premier?

Nous n’allons pas faire une dissertation sur cette question ancestrale mais nous allons plutôt nous concentrer sur votre informatique dans le grand sens du terme.

Auparavant, un certificat était obligatoire pour les sites Internet qui prenaient des cartes de crédit et/ou récoltaient des informations de type financières.

Il se pourrait qu’aujourd’hui votre site Internet ne soit pas sécurisé selon les normes actuelles. En effet, dans le courant de l’année 2018, Google commencera à signaler en gras, Rouge Lucifer etc. une bannière pour le signaler à vos visiteurs que ce soient des utilisateurs, clients ou acheteurs :

Il conviendra que cette bannière les fera fuir et de facto quitter leur éventuelle navigation de votre site.

Pour remédier à « lynchage » de votre site par Google, il suffira de rajouter un certificat SSL. Ce certificat SSL aura deux effets immédiats :

  1. Rassurer aux visiteurs que votre site est bien celui qu’il prétend être.
  2. Crypte leur données telles que nom, courriel, mots de passe, moyens de paiement etc.

Nous avons plusieurs solutions à cet effet et la plus répandue et qui garantit des résultats à court, moyen et long termes est un certificat SSL de Comodo en ~15 minutes.

https://www.sslpourtous.fr

Vous trouverez la traduction française de notre video très bientôt et qui expliquera en détail le certificat SSL.

Ce que nous proposons, c’est d’installer le certificat SSL pour vous ainsi que de remédier, voire  réversibilité en cas de problèmes.

Dans le cas contraire, vos visiteurs prendront la fuite et leur business chez vos concurrents. Ce qu’il faut s’attendre c’est que Google sera très méthodique en matière de référencement (SEO) vu qu’il va privilégier les sites sécurisés à l’instar des sites en http et ceci à partir du Printemps 2018. Donc, il y a un risque que votre trafic prenne un coup.

Il est bien entendu que vous perdrez votre classement dans les résultats de recherche, votre positionnement, visibilité et en fin de compte de l’argent, merci de nous contacter rapidement.

Il va de soi que notre équipe est tout à fait compétente et expérimentée et  tout à fait capable de régler les problèmes systèmes et réseaux en entreprise car nous sommes sur le domaine Internet depuis 1996.

Maintenant que nous contrôlons le HTTPS de votre site Internet, voyons ce que le RGPD (Règlement Général Européen pour la Protection des Données Personnelles) va changer pour nous et ceci avant la date butoir du  Mai, 2018.

-239Jours -10Heures -22Minutes -9Secondes

Ce nouveau règlement s’appliquera à toutes les sociétés traitant des données personnelles de leurs utilisateurs au sein de l’Union Européenne. Le RGPD impose aux entreprises une obligation de transparence, c’est-à-dire qu’elles doivent informer leurs clients du traitement de leurs données (quelles données sont utilisées et stockées et pour quelle finalité). La « finalité » étant la raison pour laquelle l’organisation collecte ces données et ce pour quoi elle va utiliser ces données.

Mais les sociétés traitant des données personnelles de leurs utilisateurs au sein de l’Union Européenne seront aussi obligées de recueillir leur consentement pour les différentes utilisations qui en seraient faites. les droits des personnes propriétaire des données,

  • L’obligation de désigner un DPO, Interne ou Externe,
  • L’obligation de tenue du registre des traitements,
  • Apporter la preuve du respect des exigences,
  • Responsabilisation des sous-traitants,
  • Des amendes jusqu’à 20 millions d’euros ou 4% du CA mondial,
  • Analyses d’impact obligatoires,
  • Notification des failles de sécurité

 

Le RGPD permet donc aux citoyens européens de reprendre la main sur leurs données personnelles, notamment vis-à-vis des acteurs économiques de l’Internet. Il renforce leurs droits et facilite l’exercice de ceux-ci. Nous n’allons pas parler des répressions prévues par cette loi.

NB: Cette directive s’applique aussi aux sociétés non Européennes qui traitent les données des citoyens Européens. Tout le monde est concerné. Toutes les entreprises, collectivités, associations, etc., quelle que soit leur taille, ont l’obligation de se mettre en conformité au RGPD.

Nous souhaitons vous signaler que nous mettons l’emphase sur le RGPD de façon pédagogique à l’instar de certaines agences qui prônent la répression.

Les grands principes du RGPD :

La RGPD responsabilise les entreprises et renforce les droits des personnes :

  1. “Privacy By Design”

Lors de la conception ou du développement du SI interne, des produits ou services fournis aux tiers : intégration de la protection des données.

  • Mesures techniques
  • Méthodologies dans les process métier.
  1. “Privacy By Default”
    • Lors du traitement :
    • Résultat de la mise en place de mesures techniques et organisationnelles : par défaut, seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
  2. “Accountability”
    • Le RGPD a responsabilisé les entreprises traitant des DCP
    • Mise en place de méthodologies et de procédures internes permettant de démontrer le respect des règles relatives à la protection des DCP (outils : registres, certification, codes de conduite)
  3. Sécurité renforcée
    • Moyens pour garantir confidentialité, intégrité, disponibilité et résilience constantes des SI et services,
    • Moyens pour garantir la disponibilité des données et l’accès “dans des délais appropriés”,
    • Procédures de test, d’analyse et d’évaluation de l’efficacité des

mesures techniques et org.

  1. des violations
  • Notification à la CNIL des violations de DCP (accès, alteration,destruction…) dans le délai maximum de 72H. Sauf si la violation n’est pas “susceptible d’engendrer un risque pour les droits et libertés…”
    + “dans les meilleurs délais” aux personnes si “risque élevé pour les droits et libertés”.
  1. Plus de transparence
  • Données collectées auprès de la personne :
  • identité du RT et du DPO, finalité(s), base(s) juridique(s), destinataires, durée, exercice des droits, faculté de réclamation, caractère réglementaire ou contractuel
  • + le cas échéant : intérêt légitime, flux hors UE, droit de retirer le consentement, décision automatisée.
  1. Consentement éclairé
  • Le RT doit être “en mesure de démontrer” le consentement
  • A partir d’une “demande de consentement” “claire et simple” sous une forme “compréhensible et aisément accessible”.
  • Nouveau : droit de retirer son consentement à tout moment.
  • Règles spécifique pour l’accès des mineurs aux services en ligne.
  1. Droits des personnes
  • Objectif : rendre plus effective la maîtrise de ses données par la personne intéressée elle-même.
  • Outre les droits d’accès, de rectification et d’opposition au traitement, le RGPD conforte le « droit à l’oubli » (effacement déréférencement…) et institue un nouveau droit, le droit à la portabilité

Selon l’Article 37(1) du RGPD un DPO doit être nommé. Le “Data Protection Officer” – DPO. Un expert de la protection des données personnelles

Le DPO, qui devra justifier de compétences en matière juridique ainsi que d’une expérience en matière de protection des données, sera obligatoire :

  • Dans le secteur public,
  • Si le traitement exige “un suivi régulier et systématique à grande échelle des personnes »,
  • S’il s’agit d’un « traitement à grande échelle » de données sensibles.
  • Le DPO est optionnel, mais souvent indispensable, dans les autres cas.
  • Le DPO externe
  • Certified Internet Solutions, s’appuyant sur son expérience ainsi que sur l’outil de gouvernance des données à caractère personnel APM (Actecil Privacy Manager), proposera, à partir du 25 mai 2018, aux entreprises ne disposant pas de DPO en interne, une désignation en tant que DPO externe.

Les 6 étapes de la mise en conformité au RGPD selon la CNIL

  1. Désigner un pilote, un « chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne ». Par hypothèse, la personne qui sera désignée délégué à la protection des données (DPO).
  2. Cartographier les traitements de données. Pas de mesure concrète de l’impact du RGPD sur les données traitées sans recensement précis des traitements. Utiliser le registre existant (CIL) ou créer un registre.
  • Prioriser les actions à mener. Sur la base du registre, identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Prioriser ces actions au regard des risques sur les droits des personnes concernées.
  1. Gérer les risques. Si des traitements de DCP susceptibles d’engendrer des « risques élevés pour les droits et libertés des personnes intéressées » ont été identifiés, obligation de mener, pour chaque traitement concerné, une analyse d’impact (EIVP ou PIA).
  2. Organiser les processus internes. Mise en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte à l’avance l’ensemble des événements qui peuvent survenir.
  3. Documenter. Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.
  4. Échange et protection de données à caractère personnel à l’ère de la mondialisation pour des multinationales. Le GDPR/RGPD s’applique à toute personne morale opérant en Europe : https://cisware.com/wp244rev01_fr.pdf
  1. Attention: l’Age des personnes mineures doit être vérifié.
  • Le RGPD prévoit qu’il est nécessaire de recueillir le consentement ou l’autorisation « du titulaire de la responsabilité parentale » pour les enfants âgés de moins de 16 ans (cet âge limite pouvant être abaissé à 13 ans dans certains Etats) amenés à transmettre leurs données personnelles dans le cadre de la fourniture de services en ligne (inscription sur un réseau social par exemple).
  1. Ditto pour le traitement des données
  • Le retrait du consentement
    • Le consentement doit pouvoir être retiré simplement à tout moment étant précisé que ce retrait n’aura pas pour effet de compromettre la licéité du traitement qui serait fondé sur le consentement avant ledit retrait.
    • La personne concernée doit être informée de cette faculté de retrait avant de donner son consentement.

Documents

13 févr. 2018 – Que sont les autorités de protection des données (APD)?

ec.europa.eu/info/…/what-are-data-protection-authorities-dpas_fr

07 févr. 2018 – Réforme des règles de l’UE en matière de protection des données…

ec.europa.eu/commission/…/2018-reform-eu-data-protection-rules_fr

13 févr. 2018 – À quoi correspondent les données à caractère personnel?

ec.europa.eu/info/law/law-topic/…/what-personal-data_fr

Comme tout professionnel, privé ou public, nous – Certified Internet Solutions – entreprenons notre projet de mise en conformité avec le RGDP afin d’être prêts le 25 mai 2018, date d’application du règlement européen.

Ce faisant, nous souhaitons vous faire bénéficier de notre retour d’expérience assortie d’une offre de services dans le but de vous accompagner de façon pragmatique et progressive dans la prise en compte du RGPD.

Nous contacter

Vous souhaitez en savoir plus sur notre offre de services RGPD ?

Vous avez un besoin d’accompagnement sur-mesure ?

N’hésitez pas à nous en parler.

 

Office Of The President: [email protected]

 

 

http://www.cisware.com

 

 

 

Powered by CloudFlare