Mise en conformité avec le RGPD. Les conseils de notre Expert

Une démarche de mise en conformité avec le RGPD peut à la fois être simple (pour de petites structures manipulant un simple carnet d’adresse) et compliquée (pour des structures manipulant des données bancaires, médicales, sociales, juridiques, fiscales)….
 
 
PETIT RAPPEL
Le RGPD (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), signifie  Règlement Général sur la Protection des Données.

Ce règlement qui doit être respecté depuis le 26 avril 2016 avec des sanctions possible depuis le 25 mai 2018 est basé à 90% sur des règles datant de 1978 (c.f. Loi Informatique et Libertés du 6 janvier 1978 qui contient quasiment tout le contenu du RGPD).

Sont concernées toutes les entreprises, toutes les administrations et toutes les associations situées dans l’UE ou manipulant des données à caractère personnel de personnes situées dans l’UE.

Autant dire que tout le monde est concerné (de la grande à la micro structure) sauf les particuliers manipulant des données à caractères personnel exclusivement pour un usage privé.
 
 

1. Si vous avez une ressource interne en mesure d’apprendre et de devenir autonome, nous pouvons former cette ressource.
2. Si vous n’avez aucune ressource interne en mesure d’assurer cette démarche de mise en conformité, nous pourrons nous charger de vous accompagner dans toutes vos démarches de mise en conformité.
3. Si vous avez une ressource interne ou des prestataires en mesure de réaliser une partie du travail de recensement et de suivi, nous accompagnerons et ferons progresser cette personne en l’aidant à réaliser cette démarche de mise en conformité.

• de l’état de votre structure avant le démarrage de la mise en conformité avec une ou plusieurs réglementations (un audit sera probablement nécessaire),
• du nombre de réglementations à respecter et à auditer,
• des démarches que vous souhaitez mettre en oeuvre avec les différents fournisseurs et prestataires concernés par ces améliorations,
• de la densité du planning que vous avez décidé de suivre.
• et enfin du type d’accompagnement que vous attendez de nous (au plus vous en faîtes, au plus le coût sera réduit).

la CNIL et la CADA publient un guide pratique

Ce guide est composé d’une présentation du cadre juridique et d’une fiche pratique sur l’anonymisation. Ce document fait suite à une consultation publique qui s’est tenue au printemps 2019, afin « de confronter les travaux engagés pour la présentation du cadre juridique de l’open data aux attentes concrètes des acteurs concernés ». 220 contributions ont été enregistrées. « Son succès témoigne tant de l’intérêt du public porté à la question de l’open data que du besoin d’accompagnement des administrations diffusant en ligne des données publiques ainsi que des réutilisateurs de ces données », se félicitent les partenaires….[lire la suite]

Téléchargez le guide.

Collectivités territoriales : Contrôles et sanctions de la CNIL

La Commission nationale informatique et libertés (Cnil) souligne que deux axes structurent ses actions : l’accompagnement, via un plan d’action dédié aux collectivités territoriales, et la réalisation de contrôles pouvant, en cas de manquements graves, être suivis de sanctions. Comme toute personne morale manipulant les données personnelles, les collectivités peuvent faire l’objet de lourdes sanctions….[lire la suite]

GDPR toolkit (could concern all companies in the world)

Record of processing activities

Read more

Privacy Impact assessment (pia)

Read more

General Data Protection Regulation: a guide to assist processors

DU en Investigation Numérique Pénale – Denis JACOPINI témoigne

Contenu de la formation :

• Acquisition des bases et des fondamentaux en matière informatique dans le cadre d’une expertise pénale ;
• Connaissance de la Procédure pénale ;
• Connaissance des missions, de l’organisation professionnelle et des bonnes pratiques d’un enquêteur numérique ;
• Acquisition des méthodes et pratiques d’extraction de données post mortem :
• Extraction de données à partir de supports physiques
• Extraction de données à partir de terminaux mobiles
• Extraction de traces internet
• Manipulation d’objets multimédia
• Acquisition des méthodes de fouille de données

2019 06 14 Plaquette INPA5 v12

Cette formation est réalisée en partenariat avec  :

• UFIN (Union Française de l’Investigation Numérique)
• CNEJITA (Compagnie Nationale des Experts de Justice en Informatique et Techniques Associées)
• AFSIN (Association Francophone des Spécialistes de l’Investigation Numérique)
• Gendarmerie nationale

Denis JACOPINI, Expert de Justice en Informatique spécialisé en Cybercriminalité et en Protection des Données Personnelles (RGPD) témoigne :

C’est avec grand plaisir que je vous témoigne ma grande satisfaction à l’issue de cette formation. Même si j’avais déjà une expérience en tant qu’Expert de Justice en Informatique, étalée sur 8 mois, le contenu de cette formation m’a permis d’être désormais mieux équipé (mentalement, organisationnellement et techniquement) et en plus grade confiance pour les futures expertises pénales qui me seront confiées.

La Joconde prend vie grâce à Samsung et son impressionnante IA

Comment obtenir la liste des déclarations faites à la CNIL par un organisme public ou privé ?

N’oubliez pas de nous communiquer les informations suivantes:

raison sociale de l’organisme ;

adresse postale de l’organisme ;

numéro SIREN de l’organisme.

La liste des informations communicables vous sera adressée par courrier électronique dans un délai moyen maximum de 15 jours.

Adressez une demande à la CNIL

A savoir : la CNIL ne détient pas le contenu des fichiers qui lui sont déclarés par les organismes qui les mettent en oeuvre. Elle ne connaît que leur existence et leurs principales caractéristiques. Cette liste des fichiers déclarés est aussi appelée le « fichier des fichiers ».

Quel est le vrai prix d’une mise en conformité RGPD ?

LNE : Combien coûte une mise en conformité pour une entreprise de petite taille ?

Denis JACOPINI : Il me paraît déjà important de préciser que si quelqu’un vous a dit qu’il est conforme RGPD, il y a de très forte chance que soit il n’ait rien compris à la démarche RGPD, soit que ce soit un menteur. En effet, un organisme n’est pas conforme RGPD ou non conforme RGPD. J’ajouterai même que personne n’est conforme RGPD. Par contre, on doit parler de  démarche de mise en conformité. Ainsi, soit un organisme a initié une démarche de mise en conformité, soit il n’a pas initié de démarche de mise en conformité.

Ensuite, les établissements professionnels, associations et administrations doivent savoir qu’il n’y a aucune obligation de payer quoi que ce soit ou de faire appel à un professionnel. En effet, les organismes souhaitant entamer ou poursuivre leur démarche de mise en conformité peuvent réaliser eux même ces démarches. Le coût sera alors seulement lié au temps passé à réaliser cette démarche qui peut ne pas être négligeable selon la taille ou l’activité de votre structure. Cette démarche peut donc être gratuite pour un établissement qui aura choisi de se former de manière autodidacte ou peut être remboursée en totalité si la formation que vous suivez est entièrement prise en charge par un organisme collecteur de la taxe formation.

En fait, le vrai prix dépend du contexte de départ, du volume d’éléments à améliorer et du temps consacré à la démarche de mise en conformité RGPD.

Quel type d’organisme accompagnez-vous dans leur démarche de mise en conformité ?

Tout organisme étant concerné, j’accompagne toute taille et tout type d’organisme. En fonction de la taille ou du secteur d’activité la démarche sera différente. Individuelle, de groupe, plus axée sur la formation, plus orientée sur l’accompagnement ou parfois encore, exclusivement basée sur la réalisation de la démarche de mise en conformité, nous nous adaptons à chaque organisme.

Comment bénéficier d’une démarche de mise en conformité gratuite ou pour avoir une formation prise en charge ?

La plupart des dirigeants savent aujourd’hui qu’ils peuvent demander la prise en charge de formations par l’organisme auprès duquel ils cotisent pour la taxe formation. Il suffit ensuite de nous formuler votre demande  pour que nous vous envoyons une proposition qu’il vous suffira de communiquer à votre organisme. Au terme de cette démarche administrative, un accompagnement personnalisé vous sera proposé afin de vous apprendre l’essentiel de la démarche et l’usage d’outils gratuits à mettre en oeuvre.

Récemment, la CNIL vient de mettre en place une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD ». Elle est proposée aux professionnels pour leur permettre de découvrir ou mieux appréhender le RGPD. Il vous permet ainsi d’initier une mise en conformité dans votre organisme et de vous aider à la sensibilisation des opérationnels.

Une attestation de suivi sera délivrée dans le Mooc à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module…[lire la suite]

Audit RGPD : Que doit-il couvrir ?

Parmi les phases indispensables à la démarche de mise en conformité avec le règlement européen sur la protection des données à caractère personnel, l’audit est la première.

Qu’on l’appelle « Audit » ou « État des lieux », il doit être complet et doit clairement indiquer la position de l’organisme pour chacun des points du document de référence.

Il peut ou pas aboutir à la liste des traitements qui sont indépendants de cette phase.

L’audit doit couvrir 2 volets :

• Le respect de la réglementation d’un point de vue juridique ;
• Le respect de la réglementation d’un point de vue technique.

Les deux démarches sont essentielles et parfaitement complémentaires. Par expérience, nous avons remarqué que le volet juridique représente 20 à 30% de la démarche tandis que le volet technique relatif à la « Cybersécurité » et à la sécurité des données à caractère personnel de manière général représente le reste, la plus grande partie.

Ainsi, il est essentiel que cette démarche se fasse de concert par les 2 profils ou alors avoir la chance de trouver la perle rare qui aura un profil couvrant parfaitement ces 2 approches.

Notre Expert, Denis JACOPINI est spécialisé en Protection des Données à Caractères personnel, diplômé en Cybercriminalité, en Analyse de risques sur les données présentes dans les systèmes d’information et en Droit de l’Expertise Judiciaire.

Il accompagne des organismes durant toutes les étapes de leur mise en conformité dont :

• la formation du DPO interne que vous aurez désigné (inutile si nous devenons votre DPO)
• la sensibilisation du responsable de traitement et du personnel ;
• l’analyse du contexte ;
• l’analyse de risque et d’impact sur la vie privée (pour les données es plus sensibles) ;
• l’accompagnement à la résolution des problèmes (pour la démarche de mise en conformité) ;
• les tests d’intrusion (pour être certain que les mesures de sécurité appliquées sont suffisantes) ;
• la documentation ;
• l’accompagnement du DPO (inapplicable si nous devenons votre DPO).

Vous l’aurez compris, le DPO doit avoir plusieurs casquettes et plusieurs cordes à son arc pour réaliser ou faire réaliser l’ensemble de ces missions.

Quelques précisions à propos du Règlement général sur la protection des données

Conséquence : à partir de cette date, quiconque conserve (sauf à usage strictement domestique) des documents et dossiers, papiers ou numériques, recélant des données sur sa clientèle, son personnel, ses usagers, etc., sera concerné par le RGPD et devra prendre les mesures appropriées pour s’y conformer. Ce nouveau cadre juridique impose une révision et une mise en conformité des toutes les procédures de collecte et de traitement des données….[lire la suite]

Pour information, les mesures appropriées consistent à établir une cartographie de vos traitements de données à caractère personnel (contexte), une analyse des risques, leur traitement et enfin la réalisation rigoureuse de leur documentation et de leur suivi.