Expertise RGPD et mise en conformité


RGPD, entre transparence et responsabilité

Entré en application en 2018, le RGPD vise à protéger les personnes concernées quant au traitement de leurs données.

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est une législation européenne fondamentale visant à renforcer et à harmoniser les règles en matière de protection des données personnelles. Adopté en 2016 et entré en application le 25 mai 2018, le RGPD impose des obligations strictes aux entreprises et organisations qui collectent, traitent et stockent des données personnelles de personnes physiques. 

Ainsi, vous êtes concernés si vous traitez les données de clients (B2B ou B2C), de vos collaborateurs et salariés, de vos prestataires, de vos administrés, de vos élèves ou tout autre type de personnes physiques.

Lycoris Conseil vous accompagne pour répondre à toutes les problématiques liées à votre mise en conformité !
RGPD visuel
critères RGPD

RGPD, qui est concerné ?

Cette réglementation s’applique à toute organisation quelle que soit sa taille ou son secteur d’activité. Cela inclut non seulement les entités établies dans l’UE, mais aussi celles situées en dehors de l’UE qui offrent des biens ou des services aux résidents de l’UE ou qui surveillent leur comportement en ligne. Le RGPD s’applique également aux sous-traitants et aux fournisseurs de services qui traitent des données pour le compte d’une entreprise soumise au règlement.

Lycoris Conseil vous accompagne pour répondre à toutes les problématiques liées à votre mise en conformité !

Les grands principes du RGPD

Le RGPD est régi par six grands principes, complétés par le principe transversal d’accountability. Il signifie que les organisations sont à présent maitresses de leur conformité, et doivent apporter les éléments de preuve et la documentation nécessaires à le démontrer.

01

Transparence

Les entreprises ont l’obligation d’informer les individus sur la manière dont leurs données sont utilisées au moment de leur collecte. Cela concerne autant vos clients, que vos salariés ou encore les visiteurs de votre site internet.

02

Limitation des finalités

Les données personnelles ne doivent être collectées que pour des finalités déterminées, spécifiques et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités initiales. Concrètement, il n’est pas possible de faire ce que l’on veut des données collectées par votre organisation.

03

Minimisation

Seules les données strictement nécessaires à la réalisation des finalités spécifiées doivent être collectées et conservées. Il n’est donc pas possible de collecter « au cas où » et il convient d’établir quelles données sont nécessaires, et quelles données sont facultatives suivant l’objectif poursuivi.

04

Exactitude et mise à jour

Seules les données strictement nécessaires à la réalisation des finalités spécifiées doivent être collectées et conservées. Il n’est donc pas possible de collecter « au cas où » et il convient d’établir quelles données sont nécessaires, et quelles données sont facultatives suivant l’objectif poursuivi.

05

Limitation des durées de conservation

Les données ne doivent pas être conservées plus longtemps que nécessaire par rapport à la finalité pour laquelle elles ont été collectées. De ce fait, il convient de déterminer les durées de conservation pour chaque traitement et d’intégrer des procédures de purge.

06

Sécurité

Les données personnelles doivent être traitées de manière à assurer leur sécurité et leur confidentialité. Cela implique la mise en place de mesures adéquates pour prévenir tout accès non autorisé, toute perte accidentelle, toute destruction ou tout dommage. Ces mesures garantissent une protection robuste contre les risques de traitement illicite ou non autorisé des données.

Des nouveautés dans la mise en conformité

Le rôle du DPO

Le DPO est une figure clé de la mise en conformité de votre organisation. Responsable de veiller à la conformité de l’organisation en matière de protection des données, le DPO assure le suivi des réglementations, conseille sur les meilleures pratiques et est le point de contact privilégié pour les autorités de contrôle et les individus concernés. Le DPO doit donc pouvoir adressé tous les niveaux et tous les services d’une structure, tout en rapportant au plus haut niveau.

Privacy by design/by default

Privacy by Design » signifie que les mesures de protection des données doivent être intégrées dès la conception de tout nouveau projet plutôt que d’être ajoutées par la suite. Cela implique de prendre en compte les six grands principes de la réglementation. « Privacy by Default », quant à lui, signifie que les paramètres de protection les plus stricts doivent être activés par défaut, sans intervention de l’utilisateur.

Des droits renforcés

Les droits comprennent le droit d’accès aux données, permettant d’obtenir copie des données personnelles traitées, ainsi que le droit de rectification desdites données. Le RGPD garantit également le droit à l’effacement (« droit à l’oubli ») qui permet aux individus de demander la suppression de leurs données personnelles dans certaines circonstances, ainsi que le droit de ne pas faire l’objet de certains traitements (droit d’opposition) et le droit de limiter les traitements dans certaines circonstances. Les individus ont également le droit à la portabilité des données, leur permettant de transférer leurs données d’un fournisseur de service à un autre.

Analyse d'impact

L’analyse d’impact relative à la protection des données (AIPD) vise à évaluer les risques pour la vie privée associés à un traitement de données spécifique,ainsi que les mesures pour les atténuer. L’AIPD est obligatoire dans certaines situations. En accord avec le principe de Privacy by design, elle doit être menée en amont du traitement concerné.

Besoin d'accompagnement ?

N’hésitez pas à planifier un rendez-vous afin que nous puissions mieux comprendre votre besoin.