cancel
Showing results for 
Search instead for 
Did you mean: 

RGPD – GDPR : commençons à traiter le sujet !

1
0
illu-rgpd.png

Fort heureusement, et contrairement au ressenti de certains, les réunions de travail proposées par les associations AFAI, CIGREF et TECH’IN m’ont convaincu qu’un existant non négligeable est déjà présent que ce soit sur des aspects Informatique et Liberté, Juridique (BCR), Organisationnel (fonctions spécialisées I&L, Data, etc.), Métier (référentiel des processus, catalogue de données) et Technologique (cartographies des applications et flux, modèles de données). Il faudra donc savoir en tirer parti !
Le premier challenge, face à ce texte riche et massif pour quelqu’un, comme moi, qui n’est pas un juriste, est tout naturellement de bien comprendre le contenu et les implications de celle-ci. Pour ce faire, je vous propose 3 premières questions :

Quelles organisations sont concernées ?

Je vulgarise ici ce qu’exprime la réglementation dans les quatre premiers articles. Toutes les organisations de plus de 250 employés* qui offrent des services à des personnes physiques sur le territoire d’au moins un pays de l’Union Européenne (UE) sont concernées. Ceci est vrai quel que soit la localisation du responsable du traitement et de l’exécution de ce dernier, pour peu que ce lieu soit dans l’UE ou dans un pays où le droit d’un Etat membre s’applique en vertu du droit international public. Ce droit s’applique aux traitements automatiques ou manuels des données indépendamment de la nationalité ou de la résidence de cette personne. C’est bien le responsable de traitement qui, dans tous les cas, est responsabilisé, et notamment en cas de sous-traitance.

Quels sont les nouveaux droits de la personne physique ?

C’est tout d’abord une licéité (conformité au droit, dont le recueil du consentement) et des droits renforcés par le biais des nouvelles sanctions applicables. C’est également des exigences fortes qui permettront à l’Autorité de Contrôle de mieux garantir le respect des droits de la personne physique avec le registre des traitements, les Etudes d’Impact sur la Vie Privée, la notification dans les 72h, la protection par conception, etc.

Parmi les droits de la personne physique, on retrouve d’abord, le droit à l’information sur les finalités du traitement ou sur le transfert hors UE, mais aussi, ceux relatifs à l’accès aux données confiées, à la rectification, à l’oubli, à la limitation des traitements et à la portabilité. Enfin, il ne faut pas omettre le droit à demander réparation des préjudices et sanction, d’où la nécessité pour les organisations de s’assurer de la sécurité des informations confiées.

Quels sont les grands chantiers à lancer ?

Nous avons identifié 3 actions à mener :

  1. Déployer la politique RGPD, la formation et les outils pour mettre en œuvre et piloter
  2. Préparer le fonctionnement nominal (transformation des instances, processus, etc.) pour traiter de la "protection des données dès la conception" (privacy by design), mais aussi, satisfaire les droits listés à la question précédente.
  3. Analyser l’existant afin de se mettre en conformité pour mai 2018

Ce dernier point ne pouvant être résumé dans un simple blog post, je vous donne rendez-vous le 27 avril à l’aéro-club de France de Paris pour un petit-déjeuner dédié à la RGPD. Venez échanger avec nos équipes et avec Henry Peyret, Principal Analyst, Forrester Research qui présentera son analyse et ses recommandations sur la réglementation.

Mais n’attendons pas le 27 avril pour échanger sur ce sujet, rejoignez dès maintenant le forum de discussion "Prise en main de la RGPD et premières réflexions" sur notre communauté MEGA. Enfin, d’ici deux jours nous partagerons avec vous un "Manifeste pour une démarche pragmatique, systémique, limitée par les risques".

Au plaisir de lire vos commentaires et vos appréciations.


*Article 30 : Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données relatives à des condamnations pénales et à des infractions visées à l’article 10.

Comment
jfb MEGA
MEGA

Fort heureusement, et contrairement au ressenti de certains, les réunions de travail proposées par les associations AFAI, CIGREF et TECH’IN m’ont convaincu qu’un existant non négligeable est déjà présent que ce soit sur des aspects Informatique et Liberté, Juridique (BCR), Organisationnel (fonctions spécialisées I&L, Data, etc.), Métier (référentiel des processus, catalogue de données) et Technologique (cartographies des applications et flux, modèles de données). Il faudra donc savoir en tirer parti !
Le premier challenge, face à ce texte riche et massif pour quelqu’un, comme moi, qui n’est pas un juriste, est tout naturellement de bien comprendre le contenu et les implications de celle-ci. Pour ce faire, je vous propose 3 premières questions :

Quelles organisations sont concernées ?

Je vulgarise ici ce qu’exprime la réglementation dans les quatre premiers articles. Toutes les organisations de plus de 250 employés* qui offrent des services à des personnes physiques sur le territoire d’au moins un pays de l’Union Européenne (UE) sont concernées. Ceci est vrai quel que soit la localisation du responsable du traitement et de l’exécution de ce dernier, pour peu que ce lieu soit dans l’UE ou dans un pays où le droit d’un Etat membre s’applique en vertu du droit international public. Ce droit s’applique aux traitements automatiques ou manuels des données indépendamment de la nationalité ou de la résidence de cette personne. C’est bien le responsable de traitement qui, dans tous les cas, est responsabilisé, et notamment en cas de sous-traitance.

Quels sont les nouveaux droits de la personne physique ?

C’est tout d’abord une licéité (conformité au droit, dont le recueil du consentement) et des droits renforcés par le biais des nouvelles sanctions applicables. C’est également des exigences fortes qui permettront à l’Autorité de Contrôle de mieux garantir le respect des droits de la personne physique avec le registre des traitements, les Etudes d’Impact sur la Vie Privée, la notification dans les 72h, la protection par conception, etc.

Parmi les droits de la personne physique, on retrouve d’abord, le droit à l’information sur les finalités du traitement ou sur le transfert hors UE, mais aussi, ceux relatifs à l’accès aux données confiées, à la rectification, à l’oubli, à la limitation des traitements et à la portabilité. Enfin, il ne faut pas omettre le droit à demander réparation des préjudices et sanction, d’où la nécessité pour les organisations de s’assurer de la sécurité des informations confiées.

Quels sont les grands chantiers à lancer ?

Nous avons identifié 3 actions à mener :

  1. Déployer la politique RGPD, la formation et les outils pour mettre en œuvre et piloter
  2. Préparer le fonctionnement nominal (transformation des instances, processus, etc.) pour traiter de la "protection des données dès la conception" (privacy by design), mais aussi, satisfaire les droits listés à la question précédente.
  3. Analyser l’existant afin de se mettre en conformité pour mai 2018

Ce dernier point ne pouvant être résumé dans un simple blog post, je vous donne rendez-vous le 27 avril à l’aéro-club de France de Paris pour un petit-déjeuner dédié à la RGPD. Venez échanger avec nos équipes et avec Henry Peyret, Principal Analyst, Forrester Research qui présentera son analyse et ses recommandations sur la réglementation.

Mais n’attendons pas le 27 avril pour échanger sur ce sujet, rejoignez dès maintenant le forum de discussion "Prise en main de la RGPD et premières réflexions" sur notre communauté MEGA. Enfin, d’ici deux jours nous partagerons avec vous un "Manifeste pour une démarche pragmatique, systémique, limitée par les risques".

Au plaisir de lire vos commentaires et vos appréciations.


*Article 30 : Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données relatives à des condamnations pénales et à des infractions visées à l’article 10.