Hitachi

U.S.A.

Hitachi Group Global Network

Americas

Asia

Europe

Middle East and Africa

Oceania

Close

Services GDPR/RGPD sur demande

Services GDPR/RGPD sur demande

Répondre aux obligations du RGPD

En plus des services RGPD, tels que l’analyse des écarts, l’évaluation des risques ou le programme de conformité, nous pouvons vous aider à remplir certaines obligations spécifiques:

 

Clause de non-responsabilité: le contenu de cette page a été rédigé par nos experts en conformité pour information générale et ne prétend pas fournir des conseils juridiques. Pour comprendre le contexte complet de votre organisation, veuillez consulter un professionnel légal ou de la conformité.

Besoin d’un devis pour nos services RGPD? Contactez-nous.


Besoins RGPD

DPO

Un conseiller pour assister votre délégué à la protection des données ou, si vous n’en avez pas, aider directement votre organisation en lui fournissant un soutien, juridique ou lié à la sécurité.

privacy assessment

Obtenir un statut de votre posture grâce à une évaluation d’écarts de confidentialité.

Prioritized-plan

Aide à développer un plan de conformité à la confidentialité.

GDPR

Améliorer votre sécurité pour répondre aux exigences RGPD via des services de sécurité gérés.

Évaluation de l’impact de la protection des données

Si vous traitez des informations personnelles à l’aide de nouvelles technologies (en tenant compte de la nature, de la portée, du contexte et des finalités du traitement), il existe un risque élevé pour les personnes concernées. Il est donc obligatoire d’effectuer une évaluation d’impact sur la protection des données. Cela comprend une évaluation systématique et approfondie des aspects personnels liés aux personnes concernées, tels que le traitement automatisé, ainsi que le traitement à grande échelle de catégories de données spéciales. Les logiciels de marketing sophistiqués, les technologies Big Data et les technologies d’intelligence artificielle obligent généralement le contrôleur à effectuer une évaluation de l’impact de la protection des données.

 

Comment nous pouvons vous aider?

Une expertise indépendante est souvent nécessaire pour aider le responsable du traitement à évaluer les risques pour les droits et libertés de la personne concernée. Cette évaluation nécessite que le contrôleur évalue les mesures prises pour faire face aux risques, tels que les mesures et mécanismes de sécurité. L’évaluation de l’impact sur la protection des données nécessite une approche à la fois juridique et technique, que nous pouvons offrir de manière intégrée par le biais de nos experts juridiques et de sécurité, qui travaillent parallèlement à de tels engagements.

 

Généralement, ces engagements comprennent 5 phases:

  1. Déclaration de risques élevés;
  2. Cartographie du flux de données dans le traitement de données affecté par l’évaluation;
  3. Identification de mesures organisationnelles et techniques adéquates;
  4. Analyse des risques sur la base du modèle de risque RGPD;
  5. Test final pour s’assurer que les mesures suggérées sont adéquates, en particulier pendant une évaluation de l’impact de la protection des données lors de la construction d’un nouveau système ou logiciel, car les phases de codage peuvent ne pas tenir compte des risques ou des défis.

Nous pouvons vous aider avec une de ces phases, ou nous pouvons réaliser toutes ces phases pour vous, avec la documentation appropriée.

Registre de traitement

L’article 30 du RGPD exige que chaque contrôleur établisse un registre de traitement (les processeurs ont une obligation similaire mais plus simple). Le registre de traitement doit inclure l’objet juridique du traitement, la description des catégories de données, les catégories de destinataires, une description générale des mesures de sécurité techniques et organisationnelles et des informations relatives aux transferts de données transfrontaliers. De plus, le modèle délivré par diverses autorités de protection des données contient de nombreuses autres conditions à prendre en compte, telles que les technologies utilisées ou une description des risques qu’une mesure d’atténuation est censée traiter.

Ceci est assez complexe pour les organisations et nécessite une compréhension juridique des conditions de traitement énoncées dans le RGPD. Par conséquent, la cartographie des données est essentielle pour remplir efficacement vos autres obligations. Nos consultants peuvent vous aider à accomplir ces tâches facilement.

Procédures de notification de violation de données

En cas de violation de données à caractère personnel, le responsable du traitement doit informer l’Autorité de surveillance dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance, et doit informer l’autorité de surveillance de la violation des données personnelles. Le règlement contient également des exigences très spécifiques quant à ce que la notification doit contenir et une possibilité, dans certaines circonstances, de fournir des informations par phases. En outre, le responsable du traitement est tenu de documenter toute violation de données à caractère personnel, y compris les faits liés à la violation de données à caractère personnel, ses effets et les mesures correctives prises. Ce document est essentiel pour les entités, car il permet à l’autorité de surveillance d’évaluer la conformité.

Le considérant 87 du RGPD précise qu’il « convient de vérifier si toutes les mesures de protection technologique et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation de données à caractère personnel a eu lieu et d’informer rapidement l’autorité de surveillance et la personne concernée ».

Pour répondre à ces exigences, vous avez besoin des éléments suivants:

  • Politique de notification de violation de données
  • Directives de notification de violation de données
  • Procédures opérationnelles standard de notification de violation de données
  • Modèles de notification de violation de données
  • Modèle de registre de notification de violation de données
  • Comprendre quelle autorité de surveillance doit être notifiée
  • Formation pour les employés

Hitachi Systems Security peut vous aider à respecter ces exigences.

Plans de continuité des activités et plans de reprise après sinistre

Conformément à l’article 32 du RGPD, vous devez prendre les mesures appropriées pour « rétablir la disponibilité et l’accès aux données personnelles en temps utile en cas d’incident physique ou technique ».

Bien qu’il y ait plusieurs façons d’y parvenir, la mise en œuvre d’un plan de continuité des activités (PCA) en constitue un élément essentiel. Un PCA permet aux services ou produits critiques d’être continuellement livrés aux clients; il vise à garantir la disponibilité des opérations critiques.

Un plan de reprise après sinistre (« DRP ») traite spécifiquement de la récupération des actifs informationnels après une interruption désastreuse.

Nos experts ont mis en place ces plans bien avant que le GDPR n’entre en vigueur et peuvent vous aider à créer un plan efficace et testé.

Audits de sécurité et tests

L’un des aspects les plus fondamentaux et les plus critiques du RGPD est l’exigence de l’article 32 du RGPD concernant l’adoption de mesures de sécurité adéquates. Malheureusement, il ne précise pas exactement quelles mesures sont nécessaires, cependant, il donne les paramètres à prendre en compte pour décider des mesures à mettre en œuvre.

Méthode de confidentialité par conception

La protection de la vie privée dès la conception est un concept que l’on retrouve à l’article 25 du RGPD, créé dans les années 1990 par la Dre Ann Cavoukian, ancienne commissaire à l’information et à la protection de la vie privée de la province de l’Ontario, au Canada.

Le concept est connu pour faire référence à 7 principes fondamentaux:

  1. Soyez proactif, pas réactif
  2. La confidentialité comme paramètre par défaut
  3. Confidentialité intégrée à la conception
  4. Fonctionnalité complète: somme positive et non nulle
  5. Mettre fin à la sécurité
  6. Visibilité et transparence
  7. Respect de la vie privée des utilisateurs; le garder centré sur l’utilisateur

Mesures organisationnelles

Le RGPD est rigoureux car il exige la responsabilité des entreprises. En vertu de cette réglementation, vous êtes tenu de prouver que vous êtes conforme, par opposition à ce que les demandeurs aient des doutes quant à votre conformité. Votre responsabilité est la base de la conformité au RGPD.

Pour ce faire, vous devrez mettre en place un certain nombre de politiques pour démontrer votre engagement:

  • Politique de confidentialité des employés
  • Politiques de destruction et de conservation
  • Utilisation acceptable des politiques informatiques
  • Les politiques de téléphonie mobile, etc.

La conformité à ces politiques est souvent validée par des audits internes ou externes. Tout ceci est appelé « mesures organisationnelles » dans le règlement.

Les mesures organisationnelles font partie de ce que nous appelons la gouvernance d’entreprise. Dans de nombreux cas, les entreprises devront ajuster leurs façons de faire et nous pouvons aider à établir, revoir et recommander les bonnes mesures organisationnelles.

Les formations

Les humains sont généralement l’élément le plus faible de tout contexte de conformité ou de gestion des risques. Vous pouvez mettre en œuvre toutes les mesures techniques et organisationnelles en votre pouvoir, mais sans formation, cela ne vaudra rien. La formation de votre personnel et la sensibilisation sont des exigences du rôle de délégué à la protection des données (DPO), et cela se traduit également par l’esprit du RGPD que cela sera pris en compte par les autorités. La formation doit être adaptée au rôle et à la position de l’employé. Nous pouvons offrir des formations aux cadres, aux professionnels de la sécurité et à tout type d’employés.