Que faire en cas de violation ?

Que faire en cas de violation ?

En cas de violation, il faut prévenir l'autorité de contrôle (la CNIL) dans un délai de 72h ainsi que les personnes concernées par cette violation. Ex : Une conseiller en gestion de patrimoine travaille dans le train. Il stocke sur son disque dur les données de ses clients, contenant entre autre : des copies des pièces d'identité, justificatif de domicile, impôts ... S'il perd son disque dur, il devra le…

Le GDPR traite-t-il de la cybersécurité ?

Oui, l'entreprise est responsable de la sécurité de ses données. Elle devra notamment mettre en place toutes les solutions organisationnelles et techniques permettant la protection des données à caractère personnel. Elle devra aussi tester et évaluer les mesures de sécurité mises en place.   Article 32 - Sécurité du traitement "1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée,…

Quelles sont les sanctions ?

Les sanctions administratives ont été largement renforcées. Avec le GDPR, elles pourront atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial selon le montant le plus élevé. A cela devront s'ajouter les réparations aux individus ayant subi un préjudice.   "Article 82 - Droit à réparation et responsabilité Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir…

Quelle est ma responsabilité ?

En tant que responsable du traitement, vous êtes responsable de la sécurité et de la confidentialité de vos données autant que du choix de vos prestataires. Le GDPR vient responsabiliser toute la chaine de traitement. En cas de violation, c'est bien votre responsabilité qui sera engagée.   "Article 24 - Responsabilité du responsable du traitement Compte tenu de la nature, de la portée, du contexte et des finalités du traitement…

Et mes prestataires dans tout ça ? (Prestataire informatique, externalisation marketing, RH …)

Il faudra redéfinir tous les contrats et s'assurer qu'ils respectent bien leurs obligations et qu'ils offrent les garanties de sécurité suffisantes. L'entreprise sera donc responsable du choix de ses sous-traitants.   "Article 28 - Sous-traitant : Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et…

Quel équipement pour me mettre en conformité ?

En un mot : aucun ! Ce serait tentant de penser que l'investissement dans un équipement permettrait de se conformer à l'intégralité du GDPR. La conformité au GDPR doit être vue comme une activité et non comme une contrainte technique. Cela suppose évidement de protéger ses données contre la perte, le vol, la destruction ; le triptyque Confidentialité / Disponibilité / Intégrité  ... auquel cas la cybersécurité tient un rôle…

Que deviennent les déclaration à faire à la CNIL ?

En principe, le GDPR vient supprimer les déclarations à effectuer auprès de la CNIL, puisque c'est à l'entreprise de démontrer à tout moment que ses traitements sont bien conformes. Chaque entreprise devra tenir en interne un registre de ses traitements. Quelques exceptions existent néanmoins, notamment pour les traitements de données dites "sensibles". Une nouvelle loi Informatique et Libertés devrait apporter des précisions sur ce point d'ici mai 2018.   Article…

Quels sont les nouveaux droits apportés par le GDPR ?

Pour l'utilisateur, le GDPR apporte de grands changements. Consentement plus éclairé lors de la récupération de ses données Droit à la portabilité de ses données Introduction du principe d'actions collectives Droit à réparation des dommages matériels ou moraux ...   Pour aller plus loin (source : CNIL.fr) : Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous…

Call Now Button