demo-icon-rose

Devis personnalisé
sur nos prestations d’études.
Cliquez-ici

nouveau-icon-rose

Agenda des sessions de formations
Sphinx 2018 à Paris.
En savoir plus

zoom-rose

Découvrez nos références clients…
De l’Industrie au Service Public…
En savoir plus

Le Sphinx et le RGPD

Notre engagement en matière de protection des données personnelles

Le Règlement Général sur la Protection des Données (RGPD), entre en vigueur le 25 Mai 2018, contient les modifications les plus importantes apportées à la législation européenne en matière de protection de la vie privée et de sécurité des données pour les résidents de l’UE au cours des 20 dernières années.

Il est conçu pour donner aux citoyens de l’UE un plus grand contrôle sur leurs données en renforçant leurs droits, responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants), et enfin crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Ainsi, les entreprises amenées à héberger, collecter, traiter et analyser les données personnelles se voient affecter de nouvelles responsabilités au niveau organisationnel, technique et juridique.

Qu’est-ce qu’une donnée personnelle exactement ?

Les données personnelles sont toutes les informations relatives à une personne physique (la personne concernée) qui peuvent être utilisées, en ligne ou hors ligne, pour identifier directement ou indirectement la personne. Il peut s’agir d’un nom, d’une photo, d’une adresse email, d’un numéro de téléphone, de coordonnées bancaires, d’une adresse postale, d’une donnée de localisation (adresse IP, données GPS…), d’informations médicales,

Il n’y a pas de distinction entre les données personnelles concernant une personne dans ses fonctions privées, publiques ou professionnelles – toutes sont couvertes par la législation.

Certaines informations sont en outre classées comme données sensibles. Ce concept concerne les informations relatives à l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses, aux activités syndicales, à la santé physique ou mentale, à la vie sexuelle ou aux détails des infractions pénales.

L’utilisation de ces données est encadrée encore plus strictement par le règlement. Le traitement de telles données avec les logiciels Sphinx est à réaliser de manière anonyme.

Les points clés du RGPD Un cadre juridique unifié pour l’ensemble de l’UE

Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres.

Un renforcement des droits des personnes Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Le consentement doit être explicite.

Le RGPD permet également de nouveaux droits : portabilité, droit à l’oubli, limitation du traitement, recours juridictionnel, protection des mineurs, droit à réparation.

Une conformité basée sur la transparence et la responsabilisation Les entités devront mettre en place des programmes de conformité. Elles peuvent recourir à des mécanismes de certification ou d’adhésion à des codes de conduite (accountability/contrôle de la conformité).

Les entités devront mettre en œuvre des mesures de protection des données dès la conception ainsi que lors des activités de traitement en limitant l’étendue des données traitées au minimum, par défaut (Privacy by design/by default).

Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées (PIA).

Les responsables de traitement devront déclarer aux autorités les violations de sécurité sous 72 heures. L’information aux personnes concernées s’impose en cas de risques élevés pour leurs droits.

Des responsabilités partagées et précisées Le règlement européen consacre une logique de responsabilisation de tous les acteurs des traitements de données, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.

Il impose des obligations spécifiques aux sous-traitants (Sphinx) qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.

Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière de contrôle de conformité. Il a notamment une obligation de conseil auprès du responsable de traitement pour la conformité à certaines obligations du règlement (PIA, vulnérabilité, sécurité, destruction des données, contribution aux audits).

Le cadre des transferts hors de l’Union mis à jour Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et appropriés des personnes. Et ces données transférées hors Union restent soumises au droit de l’Union pour tout traitement et transfert ultérieur.

Des sanctions encadrées, graduées et renforcées Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Pour en savoir plus : https://www.cnil.fr/fr/comprendre-le-reglement-europeen

Comment Sphinx se prépare ?

Chez Sphinx, nous avons fait des données personnelles et de la sécurité des données une priorité, et nous avons consacré des ressources importantes pour nous conformer à ce nouveau règlement. Voici quelques-unes des démarches que nous avons entreprises pour nous préparer à l’entrée en vigueur du RGPD.

En premier lieu nous avons fait réaliser un audit par cabinet indépendant pour vérifier les mesures devant être mises en œuvre pour se conformer aux nouvelles obligations. L’audit a porté sur des aspects organisationnels, techniques, et juridiques.

Suite à cet état des lieux, un plan d’actions a été rédigé afin de prioriser les mesures à prendre pour se conformer à ces exigences, ce qui implique de :

  • Continuer d’investir dans nos infrastructures de sécurité
  • S’assurer que les conditions contractuelles appropriées sont mises en place
  • Vous proposer des produits comprenant de nouveaux outils pour la portabilité et la gestion des données
  • Rester à jour sur la règlementation et suivre les conseils concernant le respect du RGPD de la part d’organismes de réglementation
  • Sensibiliser nos collaborateurs aux obligations du RGPD et former le personnel
  • Mettre à jour nos CGV conformément aux exigences du RGPD
Ressources

Le texte du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) est publié sur le site de la CNIL et le site de l’Union Européenne.

Comprendre le règlement européen sur le site de CNIL