RGPD

Règlement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données (RGPD), appelé GDPR en anglais, est un règlement européen qui est entré en vigueur le 25 mai 2018 dans tous les pays membres de l’Union européenne.

Ce règlement a pour but de renforcer et unifier la protection des données personnelles au sein de l’Union européenne. Pour ce faire, la réglementation s’articule autour de grands principes que sont :

● Traitement licite, honnête et transparent: la collecte  des données ne doit pas violer la loi sans rien cacher aux personnes concernées;

● Limitation du traitement : Les données collectées le sont pour des fins spécifiques clairement indiquées et ne sont conservées que pour la durée nécessaire à l’accomplissement de cet objectif;

● Minimisation des données : Les entreprises ne doivent traiter que les données nécessaires pour atteindre leur objectif;

● Exactitude : toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes soient effacées ou rectifiées sans tarder;

● Limitation de la conservation des données : Les entreprises doivent supprimer les données personnelles lorsqu’elles ne sont plus nécessaires au traitement. De manière simpliste, les données ne devraient pas être gardées plus longtemps qu’un individu est considéré comme un client;

● Sécurité des données :  Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées, et ce dès la conception;

● Droit à l’oubli : les individus ont le droit d’accéder à leurs données et peuvent demander à ce qu’elles soient effacées.

Suis-je concerné par son application ?

Oui, toute entreprise ou organisation qui, directement ou par un sous-traitant, collecte stocke et traite des données à caractère personnel de citoyens européens dont l’utilisation peut permettre de les identifier. Pour ne citer que quelques exemples, seront considérées comme des données personnelles : les informations sur vos employés (coordonnées, CV, heures d’arrivée / départ…), les adresses email / téléphones de vos clients, images de caméras de surveillance…

Quels sont les risques si je ne suis pas conforme au RGPD ?

La législation prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu).

RGPD et ISO27001

La famille de normes ISO27000 aide les organisations à assurer la sécurité de leurs informations. L’ISO27001 expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). L’ISO 27001 n’est pas adaptée à toutes les entreprises, mais  pour les entreprises concernées, avoir un système de gestion de la sécurité de l’information certifiée par un organisme de certification accrédité fournit une preuve concrète qu’une organisation est bien avancée dans son projet de conformité au RGPD.