Depuis le 25 mai 2018, le RGPD – Règlement Européen sur la Protection des Données Personnelles est applicable. La responsabilité des organismes est renforcée. Il est important de prendre toutes les mesures nécessaires et appropriées pour protéger les données de votre organisme. ETIXIS met tout en oeuvre pour vous aider à construire/élaborer/respecter ce cadre réglementaire.
Prendre toutes les mesures appropriées pour protéger les données :
- Minimiser les données, pseudonymiser, anonymiser
- Protéger et changer régulièrement les mots de passe
- Restreindre les accès aux données
- Respecter les politiques de sécurité de l’entreprise et la charte informatique
Agir en cas de violation ou de faille de sécurité suspectée ou avérée :
- Respecter la procédure internet d’alerte
- Identifier rapidement les données et les personnes concernées
- Identifier rapidement les mesures susceptibles d’être mises en oeuvre pour minimiser l’impact et corriger la faille
Action de mise en conformité
Mise en place de mesures organisationnelles, techniques et juridiques
NOTRE ACCOMPAGNEMENT :
Les Bonnes pratiques :
- Réaliser ou faire réaliser des audits juridiques et techniques afin d’obtenir un inventaire des traitements
- Mettre en place une gouvernance adaptée avec la désignation, le cas échéant, d’un Délégué à la Protection des Données (ou DPO)
- Créer et/ou mettre à jour de la documentation et des procédures internes à communiquer aux autorités en cas de contrôle sous forme de registre, charte, police, note d’information
- Définir une politique contractuelle et mettre à jour vos contrats afin d’obtenir de vos partenaires et sous-traitants des garanties sérieuses, mais aussi de limiter votre responsabilité
- Garantir une information loyale et effective aux personnes concernées quand à la gestion de leurs données
- Mettre en place une politique de sensibilisation et de formation des collaborateurs de votre entreprise (ateliers de formation, fiches pratiques…)
RAPPEL (lois) :
France :
- Loi Informatique et Libertés du 6 janvier 1978, modifiée en 2004
- Décret d’application du 20 octobre 2005
- Code des postes et des communications électroniques
- Loi pour République numérique (LRN) du 7 octobre 2016
- Loi n°2016-1547 du 18 novembre 2016 (« class action »)
Union européenne :
- Directive européenne du 24 octobre 1995 (transposée en France en 2004)
- Règlement du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel
- Règlement du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel
0