Le RGPD ou Règlement Général sur la Protection des Données entré en vigueur le 25 mai 2018, crée ainsi une nouvelle législation internationale pour la protection des données dans le monde entier. UniversityRH fait le point sur le RGPD.
Lancement du « Diagnostic RGPD » Wolters Kluwer / Lexing ®
Paris, le 14 juin 2018 - Wolters Kluwer lance en partenariat avec le cabinet Lexing Alain Bensoussan Avocats le « Diagnostic RGPD », un outil logiciel disponible en mode SaaS pour accompagner les entreprises privées et organismes publics dans leur mise en conformité au RGPD.
Le Règlement Général sur la Protection des Données (RGPD) vient d'entrer en application le 25 mai dernier.
Un tournant majeur dans la régulation des données personnelles
Ce texte complexe et technique opère un bouleversement complet des règles applicables à l'environnement digital des entreprises privées et organismes publics. Il impose aux acteurs de se plier à de nouvelles obligations, telles que la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement de données concerné et l'obligation d'être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD.
Les organisations doivent dorénavant assumer leur pleine et entière responsabilité sur les données qu'elles traitent, et être en mesure de démontrer que les opérations de traitement qu'elles effectuent ou leurs sous-traitants respectent le règlement.
Les questions sont nombreuses et les enjeux cruciaux : en termes principalement financiers en cas d'infraction, mais également, de façon plus positive, en termes d'image, le respect des obligations découlant du RGPD pouvant s'avérer un élément marketing précieux susceptible de renforcer sa position concurrentielle.
C'est la raison pour laquelle Wolters Kluwer et le cabinet Lexing Alain Bensoussan Avocats, à la pointe du droit de la protection des données personnelles depuis 40 ans, ont élaboré de concert le « Diagnostic RGPD », progiciel en mode SaaS dédié à la conformité au RGPD.
Cet outil consiste en un rapport de diagnostic de conformité basé sur plus de 100 questions avec l'analyse d'écart, un tableau de synthèse de conformité, la « feuille de route Lexing » en 20 étapes, les priorités et le macro-calendrier.
Selon Alain Bensoussan, Président du réseau Lexing Alain Bensoussan Avocats, « à l'heure où le RGPD marque un tournant majeur dans la régulation des données personnelles, nous sommes heureux et fiers d'avoir élaboré en partenariat avec Wolters Kluwer, un des leaders mondiaux de son secteur, un outil intégrant les exigences du RGPD. Et ce faisant de permettre aux entreprises d'être accompagnées dans leur mutation digitale en favorisant la confiance dans le big data. »
Selon Hubert Chemla, PDG de Wolters Kluwer France, « nous sommes en permanence à l'écoute des besoins des professionnels. Il nous est ainsi apparu qu'un certain nombre de dirigeants n'avaient pas encore totalement pris la mesure du nouveau RGPD, entré en application le 25 mai 2018. C'est pourquoi nous proposons aujourd'hui, avec le Cabinet Lexing Alain Bensoussan Avocats, une solution Diagnostic RGPD qui va faciliter la mise en conformité des entreprises en toute sécurité juridique, conformément à notre mission. »
Le nouveau partenariat se poursuivra dans les prochains mois avec d'autres solutions d'accompagnement pour les professionnels.
RGPD, il n'est pas trop tard ! : La checklist de ReachFive
Paris, le 1er Juin 2018 - Depuis le 25 mai 2018, toute entreprise ou organisation qui collecte et traite des données personnelles est tenue de se conformer au nouveau Règlement Général de Protection des Données (RGPD). Pourtant, un tiers des entreprises françaises ne sont pas encore prêtes[1]. Afin d'aider les retardataires, ReachFive, spécialiste de l'authentification et de la gestion des identités client, dresse la liste des 5 étapes incontournables pour s'assurer d'une bonne mise en conformité.
1/Le consentement obligatoire
Les entreprises doivent désormais obtenir le consentement de leurs contacts, à la fois pour la collecte des données mais aussi pour les usages qui en seront faits. Il faut donc penser à insérer sur les formulaires de contact des mentions dédiées avec des cases à cocher permettant aux utilisateurs d'exprimer leur consentement de manière active et explicite mais également leur rappeler la procédure à suivre pour retirer leur consentement.
2/ Plus de transparence
Fournir plus de transparence aux utilisateurs sur l'usage des données est un des objectifs majeurs du RGPD. Les entreprises doivent mettre en place une communication facile d'accès apportant des explications claires et précises sur les usages et les risques associés à la collecte et au traitement des données personnelles. ReachFive recommande de lister chaque catégorie de données qu'elles souhaitent collecter, les finalités de traitement et les risques associés à chacune d'elles mais également les organismes ou entreprises à qui sont transmises ces données.
3/ Une bonne gouvernance des données
Il est essentiel d'assurer une bonne gouvernance des données, l'image d'une marque pouvant être directement impactée par celle-ci. Pour ce faire, les entreprises doivent scrupuleusement baliser le parcours de la donnée depuis sa collecte à son traitement, identifier qui peut y accéder et nommer éventuellement un délégué à la protection des données (DPO).
4/ Ne pas négliger la sécurité
Collecter des données implique également de les sécuriser et de se tenir prêts à communiquer avec ses clients en cas de faille. Il est conseillé aux entreprises de réaliser des audits de sécurité périodiques afin de s'assurer que le niveau de sécurité est toujours optimal. Les entreprises peuvent également restreindre les accès aux collaborateurs et surtout les sensibiliser en les formant sur les risques et les bonnes pratiques.
5/ Le Droit de modification et le Droit à l'oubli explicités
À tout moment, une personne peut changer d'avis et vouloir accéder, modifier ou supprimer les informations la concernant et les entreprises doivent pouvoir répondre rapidement à ce type de demande. Pour y parvenir, il faut les informer sur la procédure à suivre. Il est conseillé également de se doter d'un dispositif permettant de mettre à jour les informations simplement et dans les meilleurs délais. Enfin, les entreprises peuvent envisager de mettre en place des systèmes automatiques permettant aux utilisateurs d'être autonomes et d'exercer directement leurs droits dans leur compte client.
A vos marques, prêts...checkez !
Un générateur gratuit de mentions légales “RGPD compatibles” pour les sites web
Domaine Legal, spécialiste du Droit en ligne, propose avec Orson.io un générateur gratuit de mentions légales pour les sites web. Une plateforme destinée aux entreprises et aux particuliers afin de répondre aux obligations de la CNIL et du Règlement général sur la protection des données (RGPD).
En France, les mentions légales et les conditions générales d'utilisation sont obligatoires sur les sites e-commerce, lors de leur création ou leur refonte. Une législation qui permet d'identifier son responsable, son hébergeur et la politique de gestion des données personnelles, en application de la loi pour la confiance dans l'économie numérique (loi LEN) et du RGPD.
Pour permettre aux entreprises et aux particuliers d'être en conformité, Domaine Legal et Orson.io ont co-construit une plateforme qui permet de générer simplement et rapidement les mentions légales et conditions générales d'utilisation de base, pour tout site internet.
Ce générateur à caractère juridique, procure les mentions légales automatiquement, y compris les informations de l'hébergeur, à partir d'un modèle existant. Il suffit ensuite à l'utilisateur de renseigner ses données, de les relire et les valider avant de les mettre en ligne. L'utilisateur peut également demander des conseils d'avocats payants en cas de besoin, pour compléter ces mentions génériques.
Une innovation entièrement gratuite RGPD compatible, dont les entreprises et particuliers feront bon usage, le manquement à cette obligation pouvant être sanctionné jusqu'à un an d'emprisonnement et 75 000 € d'amende pour les personnes physiques et 375 000 € pour les personnes morales.
Tout ce que votre entreprise a besoin de savoir à propos du RGPD
Par Tomasz Stefanski - Solutions and Applications Specialist - Sharp Europe
Le 4 mai 2018 - Voici tout ce que vous devez savoir et réaliser pour assurer la conformité des données au sein de votre entreprise.
Le RGPD changera radicalement la façon dont les données sont stockées et partagées. Non seulement, il offre davantage de transparence aux particuliers, mais il oblige également les entreprises à fournir des rapports plus détaillés en cas d'atteinte à la protection des données. Un cas de non-conformité peut entraîner de lourdes amendes pour les entreprises qui n'auraient pas mis en œuvre les mesures nécessaires ou déployé les outils spécifiques. Les amendes peuvent s'élever à 4% du chiffre d'affaires global, ou des sanctions allant jusqu'à 20M€.
Voici toutes les étapes à suivre pour s'assurer de la conformité de votre entreprise d'ici le 25 mai 2018.
Étape 1 : Savoir tout ce qu'implique le RGPD
Le RGPD est un bouleversement majeur pour la sécurité des données, et doit par conséquent être pris très au sérieux par les entreprises.
Première chose à faire : savoir très exactement quelles mesures doivent être prises au sein de son entreprise pour être en conformité avec la nouvelle réglementation.
Étape 2 : Vérifier toutes les données personnelles
Selon le RGPD, les « données personnelles » sont toutes les informations stockées par une entreprise qui se rapportent à l'identité d'une personne vivante.
Ces documents peuvent être stockés électroniquement, sur un disque dur, sur le Cloud ou sur papier. L'entreprise doit savoir précisément quels dossiers personnels sont conservés, qui y a accès et pourquoi ils sont conservés.
Étape 3 : Revoir sa charte de stockage des données
Le RGPD oblige les entreprises à redéfinir leur charte vis-à-vis de la gestion, du stockage et du partage des données. Le contenu et l'application de cette charte varieront en fonction des exigences de l'entreprise. Qu'il s'agisse de stockage numérique ou sur papier, la sécurité doit demeurer un facteur clé.
En cas de traitement à grande échelle des dossiers personnels, il peut s'avérer nécessaire de nommer un responsable de la protection des données. Son rôle sera de surveiller scrupuleusement le respect de la charte et le processus d'utilisation et de stockage des données.
Étape 4 : Mise à jour des données du client
S'il est impératif de conserver les données personnelles des clients, l'entreprise doit se rapprocher des personnes concernées, afin de leur faire signer des documents attestant qu'elles adhèrent à la nouvelle charte de confidentialité.
Les clients ont le droit de savoir comment leurs données personnelles sont stockées, et pour quelle raison elles le sont. Plus important encore, les clients devront également être pleinement conscients de leurs droits quant à la manière dont ils peuvent accéder à ces données stockées, afin qu'ils puissent vérifier si elles sont exactes ou pertinentes.
Étape 5 : L'entreprise est-elle couverte ?
L'entreprise doit absolument anticiper d'éventuels cas de non-conformité, connaître les risques et les amendes réglementaires qui en découleraient, ainsi que les recours et droits d'indemnisation des particuliers qui ont constaté une violation de la protection de leurs données personnelles.
C'est pour cette raison que les entreprises doivent vérifier quelles sont leurs polices d'assurance en ce qui concerne les réclamations, mais aussi chercher à mettre en place de meilleures dispositions si le pire devait se produire.
Étape 6 : Démontrer la conformité au RGPD
Il ne suffit pas que l'entreprise soit en conformité avec le RGPD : elle doit également être en mesure de démontrer comment elle respecte les principes de protection des données. Ce sera principalement le rôle des dirigeants de l'entreprise ou éventuellement du responsable spécifique de la protection des données, mais tous les employés se doivent de connaître la nouvelle réglementation en vigueur et la démarche à suivre pour qu'elle soit respectée. Par conséquent, des formations obligatoires devront être dispensées à tous les collaborateurs.
Ces nouvelles règles concernent non seulement les dispositions prises pour entrer en conformité avec la nouvelle directive, mais aussi pour rester à jour une fois qu'elle sera introduite.
Il est donc impératif de demander conseil auprès d'un expert juridique, afin de connaître précisément les démarches que le RGPD implique pour son entreprise.
RGPD : est-il réellement trop tard pour entrer en conformité ?
Par Nicolas Linsart, Consultant chez Software AG
Le 25 mai 2018, toutes les entreprises, quel que soit leur pays d’origine, devront être conformes au nouveau Règlement général sur la protection des données (RGPD).
Approuvée en avril 2016 et particulièrement médiatisée ces derniers mois, la nouvelle réglementation vient renforcer les obligations des entreprises concernant le traitement des données des citoyens européens. PME, startups et grands groupes doivent prendre les dispositions nécessaires pour mieux localiser et protéger les données personnelles collectées en interne. A terme, l’objectif du RGPD est de réduire les risques d’exploitation des données des entreprises en cas de faille ou de piratage informatique et de renforcer les droits individuels. Il s’agit aussi de construire un cadre juridique uniforme pour tous les états membres de l’Union Européenne.
Les grands défis du RGPD
Très vite, le RGPD s’est annoncé comme un défi, car pour être en mesure d’y répondre, les entreprises doivent revoir leur organisation et les procédures de traitement des données en interne. La plupart doivent recourir à un audit de sécurité, pour pouvoir ensuite intégrer des solutions adéquates qui garantissent la sécurité des données. Les craintes des entreprises n’ont pas tardé à se faire sentir, la majorité qualifiant le RGPD de véritable « bombe à retardement » ou encore de « contrainte ». Et ce n’est pas anodin quand la réglementation stipule que celles qui seront non conformes à la date butoir, seront condamnées à régler une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires mondial.
Entreprises : un niveau de préparation encore critique
Aujourd’hui, la majorité des entreprises ne sont pas encore prêtes. En avril 2017, seulement 2% de celles qui se disaient prêtes pour le RGPD étaient réellement conformes aux exigences de la législation[1]. Quelques mois plus tard, en février dernier, 26 % des sociétés européennes étaient totalement conformes au nouveau texte[2]. Les raisons d’un tel retard sont multiples : une loi pas forcément bien identifiée au départ qui explique que la majorité des entreprises ont perçu le RGPD comme une réglementation purement juridique, et se sont donc attachées à tenir principalement un registre de traitement des données. A cela s’ajoute le coût des projets de mise en conformité qui est une cause de la lenteur des entreprises.
Ces dernières ne réalisent que maintenant l’ampleur du travail qui reste à faire d’un point de vue technique et organisationnel en interne.
La clé : se conformer sans céder à la panique
Mais s’il est maintenant évident qu’une part importante des entreprises ne seront pas prêtes le 25 mai 2018, elles ne doivent pas pour autant céder à la panique : Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil) a assuré qu’elle ferait preuve de souplesse en matière de contrôle, et a affirmé sa volonté d’accompagner les entreprises dans leur transition pendant encore plusieurs mois[3]. En cas de contrôle de l’autorité responsable, les entreprises doivent prouver qu’elles ont initié les mesures nécessaires pour s’assurer que les données collectées soient bien protégées.
L’objectif principal pour les entreprises est maintenant d’utiliser à bon escient les quelques semaines qui les séparent de la date butoir pour « poser les fondations » et se préparer à répondre aux exigences de la réglementation. Pour y parvenir, la première des priorités est d’insuffler une culture de la conformité en interne afin de s’assurer que tous les effectifs, quel que soit leur cœur de métier, aient bien compris les enjeux de la mise en conformité. Il s’agit donc de concevoir l’équipe qui sera responsable du processus de mise en conformité. Cette dernière doit absolument cibler tous les métiers concernés (informatique, juridique, commercial, marketing, etc.) et avoir à sa tête un profil sensible à ces multiples compétences. L’objectif est de créer une bonne dynamique au changement en instaurant par exemple des cellules de travail, chargées d’initier la transition entre les différents départements, mais aussi en organisant des sessions de formation et de sensibilisation en interne. L’acquisition de ces nouvelles compétences pourrait être vérifiée par exemple via un rapide questionnaire envoyé aux employés pour s’assurer de leur implication. A terme, les entreprises pourraient même accorder des primes ou des bonus aux employés qui respectent le mieux la réglementation.
Avec des collaborateurs formés à ce changement profond, les entreprises seront beaucoup plus convaincantes auprès de leurs clients et du grand public. Autre point important : ces dernières ne doivent pas hésiter à communiquer sur leur engagement, en dévoilant, de manière tout à fait transparente, comment les données sont utilisées et quels soins particuliers sont apportés pour les préserver et garantir la confidentialité. Adopter la démarche de la transparence leur permettra non seulement d’asseoir leur forte identité de marque, mais aussi d’instaurer un climat de confiance et d’initier de nouveaux parcours clients.
Et c’est seulement après avoir effectué ce travail qu’elles pourront s’attaquer au chantier de la conformité technique en réalisant par exemple, une cartographie des données personnelles en leur possession, pour identifier les zones de risques potentiels et évaluer leur niveau de sécurité.
Le RGPD est une opportunité pour les entreprises de devenir non pas les propriétaires mais les gardiennes des données personnelles. Il est donc fondamental de commencer par un changement éthique pour transmettre la valeur des données aux employés et de rassurer les clients. Et c’est seulement après avoir initié ce changement de culture en interne que les entreprises pourront prendre en main le chantier purement technique.
Terranova lance une solution complète pour la mise en conformité effective des employés avec les exigences de formation du RGPD
La solution RGPD offre une campagne de sensibilisation clés en main qui contextualise le règlement de l'Union européenne (UE) afin que les employés comprennent leur rôle et les meilleures pratiques à suivre pour se conformer à cette nouvelle réglementation sur la protection des données.
Terranova Corporation annonce le lancement d'une solution complète et intégrée conçue spécifiquement pour aider les organisations à se conformer aux exigences de formation des employés énoncées dans le RGPD. Ancrée dans la structure de sensibilisation éprouvée de Terranova, cette solution clés en main guide les organisations de manière efficace pour mettre en œuvre un programme de formation au RGPD réussi.
La solution de Terranova aide tous les employés à apprendre les concepts clés et à les appliquer dans leurs activités quotidiennes afin de satisfaire les directives du RGPD. Son contenu engageant aide tous les administrateurs, notamment les dirigeants, les cadres et le personnel des ressources humaines à comprendre et adopter les principes juridiques sous-jacents de ce règlement. Cette solution comporte deux offres : GDPR: Essentials (RGPD : les bases) s'adresse à la population générale des utilisateurs, tandis que GDPR: In-Depth (RGPD : en profondeur) est un lot de cinq modules axés autour de différents rôles qui ciblent des groupes distincts : les dirigeants, les employés de centres d'appels, le personnel de développement et d'exploitation, les ressources humaines et le personnel chargé de l'approvisionnement.
Lise Lapointe, PDG de Terranova, fait remarquer : « Au vu des préoccupations grandissantes à l'égard de la vie privée en Europe, notre formation au RGPD porte essentiellement sur ce qui compte le plus : les individus. Chaque module de formation a été développé pour les différents rôles et responsabilités des groupes qui gèrent des données confidentielles. Par conséquent, notre contenu RGPD trouve un écho auprès de chaque public ciblé, car il est basé sur le « pourquoi » et sur ce qui exigé d'eux pour traiter les données personnelles. Car en fin de compte, protéger la confidentialité des données, c'est protéger la vie des gens. »
La solution de Terranova comprend également des outils innovants pour impliquer le public visé. Elle offre une feuille de route pour la sensibilisation à la protection des renseignements personnels, de courts modules d'apprentissage pour consolider les acquis, et des supports de communication pour accroître la sensibilisation et l'implication du public.
Le RGPD entrera en vigueur le 25 mai et nécessite que tous les employés soient formés et qualifiés. Le règlement s'appliquera à toutes les organisations traitant les données personnelles de résidents de l'UE, quelle que soit leur situation géographique. Tout manquement à cette directive sera susceptible d'entraîner de lourdes peines, y compris des amendes pouvant atteindre 20 millions d'euros ou 4 pour cent du chiffre d'affaires annuel global.
Data Protection Officer : Qui seras-tu ?
Data Protection Officer - Par David Blavier, Chief Technical Officer chez One2Team
Dès la mi-2018, la nouvelle directive européenne baptisée GDPR est appelée à remplacer les dispositions de la Loi Informatique et Libertés. Celle-ci va rendre obligatoire la nomination d’un DPO (Data Protection Officer) dans de nombreuses organisations pour lesquelles la protection des données représente un enjeu majeur. Selon l’étude « CIO Concern Management » de Janco Associates, la sécurité arrive en tête des préoccupations des DSI à hauteur de 68%. De la même manière, les fuites de données observées chez des majors du Web et largement relayées dans les médias ont participé à construire ce climat anxiogène.
Pour être efficace, un DPO doit considérer les deux fonctions principales de sa mission que sont la protection des données personnelles et la protection de la confidentialité des données.
La protection des données personnelles fait appel à des exigences en termes de moyens et processus à mettre en œuvre qui peuvent être très variables d’un pays à l’autre. Dans un contexte de développement à l’international, le DPO sera un soutien précieux afin d’appréhender les différents aspects réglementaires.
La protection de la confidentialité des données est quant à elle un peu plus poussée puisqu’il s’agit de garantir que chaque donnée soit protégée à hauteur de ses enjeux pour l’entreprise. Autrement dit, ce n’est plus la loi mais le client qui fixe les règles !
Toutes les données informatiques n’ont pas la même valeur. Une plaquette commerciale où le plan détaillé d’un prototype en cours de conception n’auront pas le même effet s’ils se retrouvent révélés. Le DPO doit donc, avec son client, mesurer le risque de divulgation de chaque donnée et son impact pour l’entreprise. De données « publiques » à « très secrètes », il doit être capable de garantir au client que ses exigences soient remplies en termes de sécurité… et même si l’on met en place assez facilement des méthodes de chiffrements sur les disques, cela ne résout pas tout !
La plus grande faille sécuritaire qu’il puisse exister réside finalement dans l’humain lui-même. Pour être totalement rassuré quant à la confidentialité de ses données, le client doit être certain que même les équipes système de son prestataire ne puisse pas les lire.
Chez One2Team, nous avons fait le choix d’aller vers plus d’automatisation en limitant l’action humaine sur les serveurs. Notre plateforme bénéficiant de mises à jour hebdomadaires, nous avons rapidement saisi l’intérêt de la robotisation pour maximiser l’efficacité opérationnelle et nous nous appuyons aujourd’hui sur des technologies comme Docker ou encore Puppet. Ce n’est donc pas une démarché sécuritaire qui a, à l’origine, poussé One2Team à s’engager dans cette voie. Cette démarche nous a donc amenés à automatiser également la maintenance. La connexion aux serveurs n’est aujourd’hui plus nécessaire pour y collecter des logs. Nous utilisons à la place des outils de supervision et de Business Intelligence comme Logmatic par exemple !
En supprimant ce besoin de connexion, les administrateurs système n’ont plus accès aux données de nos clients ce qui nous permet de leur offrir les garanties maximales en termes de sécurité et de confidentialité.
En plus de tout ça, nos clients doivent être rassurés quant à notre capacité à connaitre tout ce qui se passe et s’est passé sur nos infrastructures. Il doit savoir que l’on en a une vision claire nous permettant de les auditer et de tracer l’ensemble des opérations qui s’y déroulent.
Le métier de DPO sera ce que chacun aura décidé d’en faire. Si certains y verront un champ d’action orienté vers quelque chose de très administratif, d’autre l’utiliseront comme une traction vers plus de technologie. Partisans de l’automatisation, chez One2Team, nous avons déjà fait notre choix !
( mot clé Data Protection Officer )