@DPO_NEWS #GDPR #RGPD: Guide pratique: comment documenter la conformité ?

Guide pratique du DPO par @DPO_NEWS

 

@DPO_NEWS   #GDPR #RGPD

 

Guide pratique DPO fiche 1:

Comment documenter la conformité GDPR* ?

 

Tous les services, même non européens, qui visent des personnes se trouvant dans l’Union, devront appliquer le RGPD à partir du 25 mai 2018. Toutes les organisations et entreprises seront elles prêtes ? Aucune certitude à moins de 9 mois de la mise en application du RGPD (cf section BONUS en fin d'article).

Pour aider l'ensemble des organisations et leurs DPO a préparer la mise en place de leur projet RGPD / GDPR, @DPO-NEWS va publier à partir d'aout 2017 en plus d'artricles réguliers (http://bit.ly/2v50ai0) des fiches pratiques pour DPO.

 

 

 Guide pratique DPO fiche 1:  Comment documenter la conformité* ?

 

Votre dossier devra notamment comporter les éléments suivants :

LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) (Article 30)
  • Les analyses d’impact relatives à la protection des données pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes
  • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications) (Article 35+36)
  • Le registre qui documente toutes les violations de données. Celui-ci renseigne les effets de la violation de données et les mesures prises pour y remédier. (Articles 33+34)

C5amMvcWQAAp7jG GF GF GF

 

 

L'INFORMATION DES PERSONNES (Articles 13+14)

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées
  • Les procédures mises en place pour l'exercice des droits

LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

  • Les contrats avec les sous-traitants (Article 28)
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base juridique.

Attention : cette liste n’est pas exhaustive et les besoins de documentation peuvent varier d’un organisme à l’autre en fonction des "adpattaions" des textes nationaux. 

 

* Guide proposé par la CNPD

 

BONUS: 

Conseils de la CNIL: 

https://www.cnil.fr/fr/documenter-la-conformite

https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

 

Collectivités: Selon une enquête réalisée par la Gazette des communes, seulement  10% des collectivités en France pensent qu’elles seront prêtes pour mai 2018.

Afin de sensibiliser les collectivités à leur nécessaire préparation, la CNIL va adresser prochainement des courriers à plusieurs têtes de réseaux en soulignant la nouvelle logique d’accountability et la désignation obligatoire d’un délégué à la protection des données.

 

  • AMF Association des Maires de France et des présidents d’intercommunalité
  • ADCF Assemblée des Communautés de France
  • ADF Assemblée des Départements de France
  • ARF Régions de France
  • APVF Association des Petites Villes de France
  • AMRF Association des Maires Ruraux de France
  • FRANCE URBAINE
  • VILLES DE FRANCE
  • Association des Maires Ville et Banlieue de France
  • SNDGCT Syndicat national des Directeurs Généraux des Collectivités Territoriales
  • ADGCF Association des Directeurs généraux des Communautés de France
  • FNCDG Fédération Nationale des Centres de Gestion de la Fonction Publique Territoriale
  • FNCCR Fédération nationale des collectivités concédantes et régies (FNCCR)
  • Association DECLIC (fédère les structures départementales d’accompagnement et de mutualisation informatique des collectivités : asso, syndicats mixtes, CDG, agences techniques départementales)
  • Fédération des Entreprises Publiques Locales

Quotidiennement, DPO-NEWS et Cyberisques.NEWS vous informent sur :

@cyberisques

@jpbichard

@DPO_NEWS

https://www.linkedin.com/in/jpbichard/

 

 

@DPO_News @cyberisques @jpbichard #GDPR #DPO : RGPD, 67% des sondés en sont encore au stade de la veille technologique (rapport Umanis juin 2017)

Source : Media'Tech d'Umanis  

 

Entreprises françaises face au GDPR:  

70% n'ont pas nommé de DPO et seules 7% considèrent que la désignation d'un pilote GDPR est une priorité


 

 

 

 

Umanis, spécialiste de la data et de la mise en conformité au GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données), dévoile une enquête qui confirme le retard pris par les entreprises dans ce chantier majeur et à haut risque.

 

 

Le nouveau règlement européen modifie en effet le cadre juridique relatif à la protection des données personnelles au sein de l'Union Européenne et impose à toutes les entreprises de plus de 250 collaborateurs leur mise en conformité à horizon mai 2018, sous peine de sanctions pouvant atteindre jusqu'à 4% du chiffre d'affaires annuel mondial.

Les chantiers induits sont considérables et entraînent de forts impacts organisationnels et technologiques car toutes les fonctions étant amenées à collecter, traiter, manipuler, transformer, exploiter et stocker les données à caractère personnel sont concernées (marketing, vente, RH, applications et systèmes IT, sous-traitants, etc.).

Au-delà des aspects juridiques et technologiques, les entreprises prennent conscience tardivement que les données personnelles représentent un actif stratégique précieux, mais aussi vulnérable. La donnée et son exploitation sont en effet au cœur de la transformation digitale des entreprises mais les cyberattaques sont aussi l'un des plus grands risques auxquels elles sont confrontées.

 

 

Rien de surprenant dans les réponses de cette enquête au regard des pérécdentes :

 

 http://cyberisques.com/fr/mots-cles-15/668-compuware-rgpd-gdpr-dpo-news-cyberisques-compuware-rgpd-gdpr-dpo-news-cyberisques-l-europe-est-en-retard-sur-les-etats-unis-dans-la-mise-en-place-de-plans-detailles-de-conformite-au-rgpd-les-entreprises-britanniques-sont-les-moins-bien-preparees-seules-38

 

et 

 

http://cyberisques.com/fr/mots-cles-15/670-dpo-news-cyberisques-jpbichard-gdpr-dpo-38-des-entreprises-francaises-sont-deja-conformes-avec-le-gdpr

 

 

Basée sur les réponses de 78 répondants, décideurs en entreprises (RSSI, DSI, Relation client, Marketing, RH...), cette enquête est présentée à travers une infographie qui fait ressortir des données révélatrices de la situation actuelle :

 

  • La moitié des entreprises ignore les problématiques induites par la mise en conformité

 

  • 67% des sondés en sont encore au stade de la veille technologique

 

  • 36% des entreprises pensent que l'impact IT va être considérable car elles sont loin de pouvoir répondre aux exigences à venir

 

  • 70% n'ont pas nommé de DPO et seules 7% considèrent que la désignation d'un pilote GDPR est une priorité

 

  • 46% ne savent pas du tout si elles seront conformes à temps et 23% pensent que ce sera impossible de l'être

 

  • 77% des répondants perçoivent le GDPR comme une formidable opportunité pour créer de la valeur à partir de leurs données

 

 

Top 5 des chantiers prioritaires :

 

1/ Sécurisation des données et des traitements

2/ Mise en place du « Privacy by design » et gestion du droit à l'oubli

3/ Priorisation des actions à mener pour être en conformité

4/ Maîtrise des risques (cyberattaques, vol de données, etc.)

5/ Cartographie des traitements de données personnelles

 

 

 

Les investissements IT représentent 2/3 du budget de mise en conformité au GDPR pour les entreprises. Depuis la promulgation de ce nouveau règlement, Umanis propose son expertise historique dans les chantiers data à mener : cartographie des données, inventaire des traitements et analyse des risques, sécurisation des données (datamasking, pseudonymisation et chiffrement), garantie de leur confidentialité, de leur l'intégrité ainsi que leur traçabilité (référentiel et gouvernance des données, data lineage). 

Abonnemnt-2017

 

 

 

BONUS: 

 

 

Infographie GDPR Umanis 1

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires