Le Groupe Henner et RGPD

Les travaux de mise en conformité au Règlement Général sur la Protection des Données (RGPD) sont un véritable projet d’entreprise pour le Groupe Henner.

QUOI ? 

Le RGPD est le nouveau texte de référence européen en matière de protection de données personnelles pour les résidents de l’Union européenne qui harmonise la gestion des données personnelles dans l’ensemble de l’Union européenne.

QUAND ?

A partir du 25 mai 2018, les entreprises ne respectant pas les dispositions du RGPD s’exposeront aux sanctions prévues.
rgpd

La loi «Informatique et Libertés » (« LIL ») du 6 janvier 1978 modifiée est à ce jour applicable.

La Loi pour une République Numérique du 7 octobre 2016 : montant des sanctions passe de 150.000€ (ou 300.000€ en récidive) à 3 millions d’euros.

Publication au Journal officiel de l’Union Européenne au 27 avril 2016. Le Règlement est applicable le 25 Mai 2018 dans tous les pays de l’U.E

QUI ?

Le Règlement s’applique à l’ensemble des entreprises, associations et organismes publics qui collectent, traitent et stockent des données personnelles de résidents de l’Union Européenne. En pratique, dès lors qu’un résident européen sera visé par un traitement de ses données, y compris par Internet, le droit Européen s’appliquera systématiquement.

POURQUOI ?

  • – Pour renforcer le droit des personnes,
  • – Pour responsabiliser les acteurs traitant des données,
  • – Pour donner aux citoyens de l’Union Européenne davantage de contrôles et de visibilité sur leurs données.
Conseil_bleu plein

Étape 1
Constitution d’une équipe projet

Dès Septembre 2017, Henner a désigné un Data Protection Officer :
véritable pilote de ce projet, il est notamment chargé de mettre en œuvre la conformité.
Feuille_bleu plein
Étape 2
Cartographie des traitements de données personnelles
Rédaction des registres des traitements :
– Recensement des différents traitements de données personnelles,
– Classification des données personnelles traitées,
– Suivi des objectifs des opérations de traitement des données,
– Identification des acteurs internes et externes traitant ces données
– Reconnaissance des flux des données.
Sablier_bleu plein
Étape 3
Priorisation des actions
Sur la base des registres de traitement :
– Identification des actions à mener pour se conformer aux obligations issues du règlement.
Au regard des risques sur les droits et libertés des personnes concernées :
– Priorisation les actions.
Attention_bleu-plein-113x300
Étape 4
Gestion des risques sur les droits et libertés des personnes
Diagnostic de conformité des traitements.
– Mise en œuvre d’une procédure d’analyse d’impact sur la protection des données.
Adapter les mesures de protection et de sécurité.
Reseau_3_bleu plein
Étape 5
Organisation des processus internes
– Renforcement des actions de sensibilisation et formation des collaborateurs.
Mise à jour des procédures de gestion des droits, de la procédure des demandes des personnes concernées quant à l’exercice de leurs droits, de la procédure des incidents impactant les données personnelles
6-Conformité
Étape 6
Documenter la conformité
S’assurer en continu de la conformité de la documentation aux obligations issues du Règlement.

5 nouveaux principes issus du Règlement

DPO (Data Protection Officer)

Son rôle est de veiller à la conformité et être le point de contact entre les autorités de contrôle et l’entreprise.

Il doit être associé aux différentes questions et problématiques liées à la protection des données à caractère personnel.

Security by default 

Cela permet de renforcer le rôle de la sécurité dans le système d’information. L’entreprise doit être en mesure de déceler si l’intégrité de son SI a été compromise et doit pouvoir y remédier.

Privacy by design 

La protection des données personnelles est prise en compte dès la conception d’un produit mais aussi dans le système d’information.

L’accountability ou responsabilisation

L’entreprise doit prendre toutes les mesures pour garantir la conformité au RGPD et doit être capable de démontrer qu’elle a bien rempli ses obligations en termes de protection des données personnelles ce qui lui sera demandé lors d’un contrôle éventuel de la CNIL notamment.

Etudes d’impact sur la protection des données 

Après le 25 mai 2018, lors de la mise en place d’un nouveau traitement présentant un risque élevé pour les droits et libertés des personnes, une étude d’impact  sur les risques aux droits et libertés individuelles devra être réalisée. L’étude devra doit prévoir des mesures pour diminuer l’impact des dommages potentiels.

Vous pouvez consulter nos engagements en matière de protection des données à caractère personnel en cliquant ici.