top of page

RGPD à Bordeaux 33, conseils d'expert

Règlement général sur la protection des données


Votre accompagnement sur mesure de mise en conformité RGPD
avec notre délégué à la protection des données externalisé (DPO)

​

Les entreprises et les collectivités doivent désormais prendre les mesures utiles afin de garantir au mieux la sécurité des données de leurs clients, de leurs fournisseurs et de leurs collaborateurs.

Elles sont tenues à une obligation légale d'assurer la sécurité des données personnelles collectées.

L'entreprise garantie ainsi l'intégrité de son patrimoine de données en minimisant les risques de pertes de données ou de piratage.

Le cadre réglementaire fixé par la RGPD permet d'assurer la transparence, et de garantir les droits des personnes concernées, et enfin de responsabiliser les sociétés dans le traitement des données collectées.

​

​

Voici les 5 principes essentiels de la protection des données personnelles :

​

1/ La finalité : Données collectées dans un but particulier.

2/ La pertinence : Limitation de la collecte des données pour ne satisfaire que l'essentiel nécessaire aux objectifs.

3/ Conservation des données limité dans la durée

4/ La sécurité : Collecte et traitement doivent entrainer une mise en œuvre pour garantir l'intégrité, la sécurité d’accès et la sauvegarde.

5/ Le respect des droits des personnes :

Les personnes concernées par le traitement de leurs données, doivent pouvoir, (ainsi que la loi le prévoit) en conserver la maitrise, comme par exemple :

  • le droit d’accéder à leurs données et d’en obtenir une copie ;

  • le droit à rectification

  • le droit de s’opposer à leur utilisation, sauf si le traitement répond à une obligation légale.

Conformité RGPD à Bordeaux

Nos atouts :

- Accompagnement personnalisé

- Votre délégué à la protection des

  données externalisé

- Agrément à la CNIL

- Compétences en systèmes

  d'informations

​

 

Responsabilité - Transparence - Confiance

​

Programmez vos actions en 4 étapes

avec notre délégué à la protection des données

​

Cet accompagnement peut se dérouler de 2 façons :

​

- En télémaintenance mensuelle avec contrôle des objectifs

- Sur site, avec analyse et directives tous les trimestres

RGPD Bordeaux registre du traitement des données

1/  Constituez un registre

de vos traitements de données

RGPD Bordeaux tri des données informatiques

2/ Faire le tri de

vos données

RGPD Bordeaux respect des droits des personnes

3/ respectez le droit

des personnes

RGPD Bordeaux Sécurisez vos données informatiques

4/ Sécurisez

vos données

Que dit la loi ?

"Le responsable du traitement est tenu

de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès."

                                                                               Article 34 de la loi informatique et libertés

RGPD à Bordeaux

Notre délégué à la protection des données inscrit à la CNIL, vous accompagne dans les différentes phases de votre projet RGPD :

​

- L'élaboration de la cartographie des traitements de données

- Le registre des traitements

- L'étude d'impact

- La mise en place de la sécurisation des données

1/ TRAITEMENTS DES DONNÉES

​

Notre rôle pour aider vos entreprises à se mettre en conformité consiste tout d’abord à dresser la cartographie des traitements.

 

Cela signifie qu'à chaque fois qu'il y a une collecte de données personnelles, cela fait partie d'une liste de traitements pour lesquels il faudra apporter des préconisations et des solutions de sécurisation.

 

Voici les exemples concrets que vous avez listés, tels qu'on les rencontre dans la plupart des sociétés :

  • Gestion des candidatures

  • Gestion de la paie

  • Gestion des informations clients

  • Gestion des demandes de factures

  • Géolocalisation

  • Gestion des contraventions

  • Gestion du parc de smartphones

  • Compte personnel de formation

Ces exemples illustrent parfaitement les divers domaines où les données personnelles sont traitées, soulignant la nécessité d'une approche globale pour la conformité.

​

​

​

2/TRI ET ANALYSE DES DONNÉES

​

L'étape du tri et de l'analyse des données est cruciale. Elle consiste à passer au crible chaque traitement pour s'assurer de sa conformité. Vous avez très bien identifié les éléments clés à vérifier :

  • Finalité de la collecte : Il est fondamental de définir clairement pourquoi vous collectez des données personnelles. Chaque traitement doit avoir un objectif légitime et explicite. Par exemple, la collecte d'adresses e-mail pour l'envoi de newsletters a pour finalité la communication marketing.

  • Base légale et consentement : C'est un point central du RGPD. Avez-vous une base légale valide pour traiter ces données ? Si c'est le consentement, il doit être :

    • Libre : La personne ne doit pas se sentir contrainte de le donner.

    • Spécifique : Le consentement doit être donné pour des finalités précises.

    • Éclairé : La personne doit être informée de l'identité du responsable de traitement, des finalités, des données collectées, etc.

    • Univoque : Il doit y avoir une manifestation claire de volonté, par exemple, une case à cocher active (jamais pré-cochée par défaut).

  • Durée de conservation des données : Les données personnelles ne doivent pas être conservées indéfiniment. Vous devez définir une durée de conservation proportionnée à la finalité de la collecte, puis procéder à leur suppression ou anonymisation une fois cette durée écoulée. Par exemple, les données de candidature ne devraient être conservées que le temps nécessaire au processus de recrutement, sauf accord spécifique du candidat pour une conservation plus longue.

  • Modalités d'exercice des droits des personnes concernées : Les individus ont des droits sur leurs données (droit d'accès, de rectification, d'effacement, d'opposition, etc.). Vous devez mettre en place des procédures simples et accessibles pour leur permettre d'exercer ces droits. Un espace client en ligne est une excellente solution pour centraliser et faciliter ces démarches.

Ces vérifications permettent de s'assurer que chaque traitement de données respecte les principes fondamentaux de protection des données, notamment la minimisation des données, la transparence et la responsabilité.

 

​

3/ RESPECT DES DROITS DES PERSONNES

 

 
​

 

L'Information Préalable : Clé d'une Collecte Loyale et Licite

 

Pour que la collecte de données personnelles soit considérée comme loyale et licite, elle doit impérativement s'accompagner d'une information claire et précise fournie aux personnes. Cette information doit couvrir plusieurs points cruciaux :

  • L'identité du responsable du fichier : Qui est l'entité qui collecte et traite les données ?

  • La finalité du fichier : Pourquoi ces données sont-elles collectées ?Quel est l'objectif précis ?

  • Le caractère obligatoire ou facultatif des réponses : Est-ce que la fourniture de certaines informations est indispensable ? Si oui, quelles sont les conséquences en cas de non-fourniture ?

  • Les destinataires des données : Qui aura accès à ces données ? S'agit-il uniquement de services internes, ou seront-elles partagées avec des tiers (partenaires, sous-traitants) ?

  • Leurs droits : Les personnes doivent être informées de l'existence et des modalités d'exercice de leurs droits, notamment le droit d'accès (consulter ses données), de rectification (corriger des erreurs) et d'opposition (s'opposer à un traitement). D'autres droits existent également (effacement, portabilité, limitation du traitement, etc.) et devraient idéalement être mentionnés.

  • Les éventuels transferts de données vers des pays hors UE : Si les données sont transférées en dehors de l'Union Européenne, il est crucial d'informer les personnes des garanties mises en place pour assurer un niveau de protection adéquat.  

En respectant ces principes, les entreprises construisent une relation de confiance avec leurs utilisateurs et démontrent leur engagement envers la protection de la vie privée.

 

​

 

​

4/ SÉCURISATION DES DONNÉES

​

Nous mettons en lumière une étape fondamentale et souvent sous-estimée de la conformité : la sécurisation des données. Il ne s'agit pas seulement de suivre des règles, mais d'adopter une approche proactive pour protéger la vie privée des individus.

Le responsable du fichier a l'obligation d'identifier et d'évaluer les risques que ses traitements de données pourraient faire peser sur les personnes concernées. Pour cela, une vision globale est indispensable, en se projetant sur les conséquences concrètes pour les individus.

 

Évaluation des Impacts : Les Questions Clés

 

Pour bien mener cette analyse d'impact relative à la protection des données (AIPD), il est crucial de se poser les bonnes questions :

  • Quels pourraient être les impacts sur les personnes en cas de :

    • Accès illégitime ? (Ex: fuite de données bancaires, d'informations de santé sensibles).

    • Modification non désirée ? (Ex: altération des notes scolaires, du dossier médical).

    • Disparition ? (Ex: perte totale de l'historique de commandes, des coordonnées client).

  • Est-ce grave ? (Évaluer la sévérité de l'impact : atteinte à la réputation, préjudice financier, discrimination, etc.).

  • Comment chacun de ces scénarios pourrait-il arriver ? (Identifier les vulnérabilités : erreurs humaines, failles techniques, attaques malveillantes).

  • Est-ce vraisemblable ? (Estimer la probabilité que le risque se matérialise).

  • Quelles mesures (de prévention, de protection, de détection, de réaction…) devrait-on prévoir pour réduire ces risques à un niveau acceptable ? (Réfléchir aux contre-mesures techniques et organisationnelles).

 

Un Catalogue de Bonnes Pratiques pour des Mesures Proportionnées

 

Pour aider à déterminer des mesures proportionnées aux risques identifiés, un catalogue de bonnes pratiques est un outil précieux. Ces mesures peuvent agir sur plusieurs leviers :

  • Les "éléments à protéger" : Il s'agit de mesures qui visent directement les données elles-mêmes.

    • Minimiser les données : Ne collecter que ce qui est strictement nécessaire (principe de minimisation).

    • Chiffrer : Rendre les données illisibles sans une clé (ex: chiffrement des disques durs, des communications).

    • Anonymiser / Pseudonymiser : Rendre l'identification des personnes impossible ou difficile.

    • Permettre l'exercice des droits : Faciliter l'accès, la rectification, la suppression, etc.

  • Les "impacts potentiels" : Ces mesures visent à limiter les conséquences en cas d'incident.

    • Sauvegarder les données : Mettre en place des copies de secours pour restaurer en cas de perte.

    • Tracer l'activité : Enregistrer qui fait quoi avec les données (journalisation des accès).

    • Gérer les violations de données : Avoir un plan d'action en cas de fuite ou d'accès non autorisé.

  • Les "sources de risques" : Ces mesures s'attaquent aux causes potentielles des incidents.

    • Contrôler les accès : Restreindre l'accès aux données aux seules personnes habilitées (principe du moindre privilège).

    • Gérer les tiers : S'assurer que les sous-traitants et partenaires respectent aussi la sécurité des données.

    • Lutter contre les codes malveillants : Installer des antivirus, pare-feu, et former les utilisateurs.

  • Les "supports" : Ces mesures concernent l'environnement dans lequel les données sont traitées.

    • Réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier : Mettre à jour les systèmes, sécuriser les infrastructures réseau, protéger les documents physiques.

Pour chaque risque identifié, l'utilisateur de ces guides peut ainsi sélectionner une ou plusieurs mesures appropriées pour le réduire à un niveau acceptable. C'est une démarche itérative et continue qui permet d'adapter la sécurité aux évolutions des risques et des technologies.

Consultant accompagnement RGPD Boreaux

Quelles types de sanctions de la part de la CNIL
en cas
de manquement à la RGPD ?

​

A l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.

Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :

  • Prononcer un rappel à l’ordre ;

  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;

  • Limiter temporairement ou définitivement un traitement ;

  • Suspendre les flux de données ;

  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;

  • Prononcer une amende administrative.

Lire notre article sur :

Les six grands principes du RGPD selon notre spécialiste DPO à Bordeaux

Groupe SECULA / RCI33
Informatique - Impression - Electronique
Développement logiciels
  • Facebook Clean

Tel : 06.81.86.25.79

Ouvert le lundi de 12h à 14h30. Du mardi matin au vendredi matin de 9h45 à 14h. Sur rendez vous les après midi.

bottom of page