Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD) ?
Directement applicable dans chaque Etat membre de l’Union européenne à compter du 25 mai 2018, le Règlement Général sur la Protection des Données a vocation à remplacer la Directive de 1995 actuellement en vigueur concernant la protection des données. Il vient en effet encadrer la protection des personnes physiques s’agissant du traitement de leurs données à caractère personnel, ainsi que la libre circulation de ces données.
Le RGPD a pour finalités de :
-
- Renforcer la protection des données personnelles des individus ;
- Harmoniser les législations européennes en matière de sécurité et de gestion des données personnelles ;
- Accentuer la transparence et la responsabilité de tous les acteurs participant au traitement des données à caractère personnel ;
- Encourager l’innovation au sein du marché unique du numérique ;
- Assurer un niveau de protection élevé des droits des citoyens.
Notre objectif est de répondre à vos principales interrogations et de mettre en lumière les travaux réalisés par OUTSCALE SASU pour assurer sa conformité au RGPD.
Êtes-vous concerné par le RGPD ?
Le règlement s’applique à toutes entreprises, personnes physiques ou morales, exerçant des activités économiques dans l’Union européenne et mettant en oeuvre un traitement automatisé ou non de données à caractère personnel relatives à des personnes se trouvant dans l’Union européenne. Que la situation géographique de l’organisation se situe au sein ou en dehors du périmètre européen est indifférent quant à l’applicabilité du règlement.
Si vous êtes établi sur le territoire de l’Union européenne vous êtes de facto concerné par le règlement.
Si vous n’êtes pas établi sur le territoire de l’Union européenne, vous n’êtes a priori pas concerné par le règlement, à moins que :
- vous proposiez une offre de biens ou de services visant des personnes au sein de l’Union européenne ;
- vous effectuiez un suivi du comportement de personnes (ayant lieu au sein de l’Union européenne).
Désormais, le responsable de traitement n’est plus le seul responsable en cas de faille, puisque le règlement prévoit une co-responsabilité : est responsable toute personne dès lors qu’elle participe au traitement de données à caractère personnel. Tel peut être le cas du sous-traitant qui s’est vu déléguer par une entreprise une partie de ses activités de traitement de données personnelles.
Les questions à se poser pour se mettre en conformité avec le RGPD
Il est encore temps de vous mettre en conformité avec le RGPD. Aussi, nous vous recommandons de revoir vos systèmes de sécurité relatifs à la protection des données.
Nous vous recommandons de vous poser pour chaque traitement de données un certain nombre de questions et notamment :
- Qui est responsable du traitement ?
- Existe-t-il des sous-traitants?
- Quelle est la nature des données traitées? S’agit-il de données personnelles sensibles ?
- Quelles sont les finalités des traitements mis en place ?
- Où sont hébergées les données ? Vers quel(s) pays sont-elles éventuellement transférées ?
- Combien de temps sont conservées et traitées les données ?
- Quelles sont les mesures de sécurité mises en place pour minimiser les impacts sur la vie privée des personnes concernées par le traitement ?
Quelles sont les mesures mises en place par 3DS OUTSCALE pour préparer sa conformité en vue de l’entrée en vigueur du RGPD ?
De son côté, 3DS OUTSCALE s’engage à respecter la conformité au RGPD dans ses services de Cloud computing à compter du 25 mai prochain. 3DS OUTSCALE applique des processus certifiés ISO 27001 permettant la mise en oeuvre de procédures propres à garantir la confidentialité et la protection des données de ses clients.
Les points clés du RGPD que 3DS OUTSCALE s’engage à respecter pour l’entrée en vigueur du règlement sont les suivants :
Information
-
-
- Communication/Information sur la collecte des données personnelles
- Précisions sur la finalité des collectes des données personnelles
- Transparence
- Obtention du consentement approprié pour le traitement des données personnelles dans le cas où il est requis
-
Organisation
-
-
- Formation et sensibilisation du personnel aux exigences de confidentialité et de protection des données personnelles
- Nomination d’un délégué à la protection des données (DPO) dont la désignation sera effective au 25 mai 2018
- Tenue d’un registre des traitements
- Gestion des contrats en conformité avec la législation
-
Renforcement des droits des personnes
-
-
- Droit à l’information
- Droit d’accès aux données
- Droit de rectification
- Droit à l’oubli/effacement/suppression des données personnelles
- Droit à la limitation du traitement
- Droit d’opposition au traitement
- Droit à la portabilité des données
- Droit de ne pas faire l’objet d’une decision à la prise de décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant la personne concernée
-
Contrôles
-
-
- Audits réguliers et actualisation des stratégies de traitement des données
- Sécurité adaptée
- Signalement des failles de sécurité, engendrant un risque aux personnes concernées, à la CNIL et/ou à l’ANSSI en fonction des situations
-
Pour en savoir plus sur notre conformité au RGPD, contactez-nous !