68 lines
2.9 KiB
Markdown
68 lines
2.9 KiB
Markdown
RGPD
|
|
===
|
|
|
|
Règlement Europén en 6 étapes
|
|
|
|
Source du droit : Droit de l'UE
|
|
|
|
La CNIL vérifie que le règlement europén est bien appliqué dans le droit interne.
|
|
En droit interne on a un protocole qui date de la loi informatique et libertés de 1978.
|
|
|
|
Pas un changement de ouf car on avait déja la plupart des règles en France.
|
|
CNIL propose 6 étapes :
|
|
**1 - Désignation d'un pilote**
|
|
Rôle du pilote ? C'est le délégué à la protection des données
|
|
il est obligatoire dans deux cas :
|
|
|
|
- si on est un organisme public
|
|
- si votre entreprise vous amène à réaliser un suivi régulier et systématique de personnes à grande échelle ou si vous traitez des données sensibles ou encore si ce sont des données relatives à la condamnation pénale et à des infractions
|
|
|
|
Même si l'entreprise n'est pas obligée, il est fortement recommandé d'en désigner un.
|
|
|
|
Rôle :
|
|
|
|
- il est tenu d'informer et de conseiller tous les responsables de traitement des données
|
|
- lien entre autorité de contrôle (cnil) et l'entreprise.
|
|
|
|
**2 - Cartographier le traitement de données personnelles**
|
|
|
|
- Identifier ce qui est données perso et ce qui ne l'est pas
|
|
- savoir pour chaque donnée, pourquoi on l'a
|
|
- identifier les flux de ces données
|
|
|
|
Pour chaque type de donnée perso, il faut se poser toute une série de qustions :
|
|
|
|
- qui gère la donnée ?
|
|
- quelle catégorie de donnée il s'agit ?
|
|
- pour quoi ?
|
|
- où stocke-t-on la donnée (y compris serveur de sauvegarde)
|
|
- jusqu'à quand ? Chaque catégorie a des règles de conservation spécifiques
|
|
- comment ? Quelles sont les mesures de sécurité qu'on va mettre en oeuvre ?
|
|
|
|
**3 - Prioriser les actions**
|
|
|
|
Plus on a de données, plus c'est lourd. Il faut d'abord se concentrer sur le plus important : qui gère, où et avec quelle sécurité ?
|
|
|
|
**4 - Gérer les risques**
|
|
Important d'anticiper la gestion des risques ! Permet d'orienter sur les premières missions à mener. Faire étude d'impact de la protection des DP
|
|
|
|
**5 - Organiser un processus interne**
|
|
|
|
Arriver à mettre en place protocole dans l'entrprise qui pourra répondre à toutes les questions de sécurité utiles (ex : commencer par campagne de sensibilisation). Le protocole doit être adapté à l'entreprise et aux données que l'on gère.
|
|
En cas de violation des données, on a 72h pour prévenir les autorités compétentes (CNIL) et les personnes concernées sur la violation des données qui a eu lieu
|
|
|
|
**6 - Crér un document de la conformité**
|
|
|
|
il s'agit de réunir dans un même dossier l'ensemble des informations qu'on a pu mettre en place concernant l'entreprise.
|
|
|
|
- Doit comporter obligatoirement la documentation sur le traitement des données personnelles.
|
|
- Doit aussi comporter la doc relative à l'information des personnes
|
|
- et aussi les contrats qui définissent les rôles et la responsabilité des acteurs. Qui est/sont les sous-traitants par exemple.
|
|
|
|
|
|
|
|
Plus gros points :
|
|
|
|
- sensibilisation des employés
|
|
- machins mis en place pour assuer la protection.
|