En ce moment En ce moment

Contrats fournisseurs: la protection des données personnelles renforcée par le RGPD

Publié par Bénédicte Gouttebroze le

Je m'abonne
  • Imprimer

Les grandes nouveautés introduites par le RGPD

  • La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C'est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design "doit être traduit en dur dans le code source" des outils utilisés par l'entreprise, insiste Thomas Beaugrand.
  • La démarche de security by default: par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent discriminer les données selon les traitements et habilitations.
  • La démarche d'accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.

Quelles sont les actions et modifications à mettre en oeuvre?

Face au bouleversement engendré par l'entrée en vigueur du RGPD en mai dernier, il reste aux entreprise moins de 18 mois pour se mettre en conformité: à compter du 25 mai 2018, toutes les organisations devront respecter le nouveau règlement, et des sanctions lourdes, jusqu'à 4% du CA annuel mondial de l'entreprise prise en défaut, pourront tomber.

La première étape consiste donc à réaliser un mapping pour identifier les traitements des données existants au sein de l'entreprise. Pour les services juridiques, "il sera nécessaire de se mêler à toutes les fonctions support pour assurer la mise en place de ce règlement", recommande Clémence Scottez, chef de service des affaires économiques de la CNIL, afin de déterminer les interlocuteurs-clés.

Deuxième étape: réaliser des études de risques et d'impact selon les traitements adoptés et la nature des données, et si besoin se faire accompagner par des experts pour définir une politique de gestion des données. L'EDPB (European data protection board), émanation du G29 qui regroupera l'ensemble des CNIL européennes, va fournir des listes de traitements soumis à des études d'impact de risque. Enfin, des réorganisations internes seront nécessaires (désignation du DPO, mais aussi déploiement des différentes démarches de privacy by design, security by default et accountability), ainsi que la contractualisation des mesures de sécurité avec les clients et fournisseurs (voir encadré en page précédente).

Découvrez le règlement général de protection des données en (presque) un coup d'oeil et quelques clics avec la datavisualisation réalisée par la CNIL.

Les conseils de la CNIL pour mener ses études d'impacts: découvrez la méthode ici.

À lire aussi: "Acheteurs publics, connaissez-vous la norme ISO/IEC 27018?"

Je m'abonne
Aude Guesnon,<br/>rédactrice en chef Aude Guesnon,
rédactrice en chef

La Lettre de la Rédac

Chaque semaine, l'essentiel de l'actu

La rédaction vous recommande

Par Synertrade

premiere vue cette loi peut representer de nouvelles contraintes pour les entreprises ainsi que des risques reputationnels et financiers Mais [...]

Sur le même sujet

IT / Digital

Par Hadrien Gravet, co-fondateur de l'agence de cybersécurité DND Agency

On vous la prête, on vous l'offre à de multiples occasions et vous l'utilisez sans même vous en rendre compte : la clé USB est partout ! Pourtant, [...]