Recherche
Mag Décision Achats
S'abonner à la newsletter S'abonner au magazine
En ce moment En ce moment

Contrats fournisseurs: la protection des données personnelles renforcée par le RGPD

Publié par Bénédicte Gouttebroze le

Je m'abonne
  • Imprimer

Les grandes nouveautés introduites par le RGPD

  • La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C'est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design "doit être traduit en dur dans le code source" des outils utilisés par l'entreprise, insiste Thomas Beaugrand.
  • La démarche de security by default: par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent discriminer les données selon les traitements et habilitations.
  • La démarche d'accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.

Quelles sont les actions et modifications à mettre en oeuvre?

Face au bouleversement engendré par l'entrée en vigueur du RGPD en mai dernier, il reste aux entreprise moins de 18 mois pour se mettre en conformité: à compter du 25 mai 2018, toutes les organisations devront respecter le nouveau règlement, et des sanctions lourdes, jusqu'à 4% du CA annuel mondial de l'entreprise prise en défaut, pourront tomber.

La première étape consiste donc à réaliser un mapping pour identifier les traitements des données existants au sein de l'entreprise. Pour les services juridiques, "il sera nécessaire de se mêler à toutes les fonctions support pour assurer la mise en place de ce règlement", recommande Clémence Scottez, chef de service des affaires économiques de la CNIL, afin de déterminer les interlocuteurs-clés.

Deuxième étape: réaliser des études de risques et d'impact selon les traitements adoptés et la nature des données, et si besoin se faire accompagner par des experts pour définir une politique de gestion des données. L'EDPB (European data protection board), émanation du G29 qui regroupera l'ensemble des CNIL européennes, va fournir des listes de traitements soumis à des études d'impact de risque. Enfin, des réorganisations internes seront nécessaires (désignation du DPO, mais aussi déploiement des différentes démarches de privacy by design, security by default et accountability), ainsi que la contractualisation des mesures de sécurité avec les clients et fournisseurs (voir encadré en page précédente).

Découvrez le règlement général de protection des données en (presque) un coup d'oeil et quelques clics avec la datavisualisation réalisée par la CNIL.

Les conseils de la CNIL pour mener ses études d'impacts: découvrez la méthode ici.

À lire aussi: "Acheteurs publics, connaissez-vous la norme ISO/IEC 27018?"

 
Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

Retour haut de page