Sauvegarde et sécurité des données (RGPD)

Le Règlement Européen pour la Protection des Données

Exemples de traitements

devant être conforme au RGPD

En interne

  • Gestion de la paye
  • Recrutement
  • Plan de formation
  • Gestion d’accès aux locaux
  • Agendas partagés

Relation citoyens

  • Registre de courriers
  • Titres / Règlements
  • Gestion de l’état civil
  • Droits du sol
  • ...

Multimédia

  • Site web
  • Formulaire de collecte
  • Newsletter
  • Photos/ vidéos de personnes
  • Vidéo-surveillance

Quelles sont les données concernées ?

L’ensemble des données personnelles...

Données à caractère personnel

Toute information permettant d’identifier directement ou indirectement une personne physique que ce soit par l’intermédiaire d’éléments informatisés ou pas. Par exemple : Nom, Prénom, Photo, Adresse mail, Numéro de téléphone, CV,... Ces données peuvent être stockées au sein de bases de données structurées (logiciel métier par exemple) ou dans de simples fichiers (Word, PDF…). On parle dans ce cas de données non structurées.

Cartographier les traitements

Afin de pouvoir agir sur les données personnelles traitées, il convient de procéder à la cartographie des traitements de données. L’objectif est multiple, cela va notamment permettre :

  • de déterminer où se trouvent les données
  • qui a accès à ces données
  • quels types de données sont stockées
  • la légitimité des données stockées
  • la durée de conservation des données
  • les moyens de sécurisation des données mis en œuvre

Le droit des personnes

Le RGPD renforce et instaure de nouveaux droits au profit des individus sur l’utilisation de leurs données personnelles, notamment :

  • Le Droit d’accès
  • Le Droit d’informations
  • Le Droit de rectification
  • Le Droit à l’effacement (droit à l’oubli)
  • Le Droit de limitation

La violation de données

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles. Si les informations compromises peuvent engendrer l’atteinte à la vie privée d’un ou plusieurs individus, une déclaration à la CNIL doit être réalisée dans les 72 heures. Un registre de violation des données doit être constitué.

Le facteur humain

La réussite de la mise en conformité avec le RGPD d’une structure repose sur sa capacité à engager l’ensemble de ses collaborateurs dans la démarche. La conformité au RGPD est essentiellement liée au respect de procédures internes simples, mais qui vont bousculer les habitudes de certains collaborateurs. Sans l’adhésion du plus grand nombre à la démarche RGPD, la mise en conformité sera à moyen ou long terme un échec !