Se mettre en conformité avec le RGPD, c’est maintenant !

Le Règlement Général pour la Protection des Données (RGPD) s’appliquera dans toute l’union européenne en mai 2018.

RGPDIl concerne toutes les entreprises qui manipulent de la donnée personnelle, que ce soit par exemple, du transfert de données d’objets connectés personnels à des bases de données distantes, du stockage dans un fichier ou du machine learning. Si la tenue de registre concerne d’abord les entreprises de plus de 250 employés, il y a fort à parier que les donneurs d’ordre imposeront ces registres à leurs sous-traitants par contrat pour contrôler le risque de non-conformité.

Le règlement entend concilier la libre circulation des données et la protection des personnes physiques à l’égard du traitement des données à caractère personnel (identité d’état civil, de sécurité sociale, biométrique, de communication, etc. mais aussi toute donnée qui permet de discriminer une personne parmi une population).

Toutes les personnes présentes dans l’union européenne sont concernées et toute entreprise qui offre des biens ou des services à ces personnes est concernée, même si le traitement de la donnée n’est pas fait dans l’union européenne.

Les grands principes du règlement sont les suivants :

  1. Traiter les données de manière licite, loyale et transparente au regard de la personne concernée
  2. Collecter pour des finalités déterminées, explicites et légitimes, et ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités
  3. Choisir des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)
  4. Prendre toutes les mesures raisonnables pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder
  5. Conserver les données sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
  6. Garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Les entreprises qui préparent des projets de traitement de donnée auront plus de facilité à se mettre en conformité que celles qui utilisent déjà beaucoup les données personnelles. Aussi, le RGPD donne l’occasion de ré-examiner sa stratégie data et incite à simplifier son organisation autour du traitement de donnée.

Doptim propose une méthode « Lean » pour construire la stratégie data d’un projet, en formalisant les finalités et en passant en revue toute la chaîne de traitement de la donnée. Cette revue éclaire sur les choix de solutions techniques pour le stockage, l’analyse et la vérification et permet de lancer sereinement ses investissements.

Pas encore prêts pour le RGPD ? Nous pouvons vous aider !

Autres liens utiles :  www.cnil.fr   www.anssi.fr