RGPD Q&R : Conformité et certification

Alors que la date butoir de mise en conformité pour le Règlement Général Européen sur la Protection des Données (RGPD) approche, nous avons décidé de réunir ci-dessous les principales questions qui nous ont été posées durant ces derniers mois au sujet de la conformité et de la certification.

 

Q: Pouvez-vous nous en dire plus concernant le niveau de détail nécessaire afin de démontrer sa conformité au niveau des politiques, des instructions aux employés, etc. si l’entreprise n’utilise pas la norme ISO ?

R: Bien que les entreprises puissent déterminer elles-mêmes ce que signifie le terme « approprié » dans leur contexte, le bénéfice de suivre une norme telle que l’ISO 27001 est qu’elle permet de démontrer la mise en place des bonnes pratiques reconnues à l’internationale via des documentations appropriées.

 

Q: Je souhaite préparer une liste des contrôles requis, plus particulièrement au niveau technique, afin d’aider à confirmer si nous sommes conformes ou non au RGPD. Existe-t-il un exemple de liste que nous puissions utiliser ?

R: Il n’existe malheureusement pas de liste type. Les contrôles appropriés varient d’une entreprise à l’autre mais ils comprennent souvent le cryptage, les tests d’intrusion, les contrôles d’accès et les sauvegardes. Vous devriez également mener une analyse détaillée des risques afin de déterminer où sont les risques et quelles seraient les mesures de limitation appropriées.

 

Q: Nous avons une certification ISO 27001. Devons-nous tout de même nous référer au RGPD ?

R: Oui. Bien que la norme ISO 27001 fournisse une bonne base dans votre projet de conformité au RGPD, elle seule ne suffira pas à garantir votre conformité avec le nouveau règlement.

 

Q: Existe-t-il une certification spéciale permettant de démontrer sa conformité au RGPD ?

R: Les organisations suivant le norme ISO 27001 sont susceptibles de répondre aux différentes exigences de sécurité « techniques et administratives appropriées » du RGPD mais elles devront faire quelques mises au point. Mener une analyse des écarts avec le RGPD vous aidera à identifier les conditions requises afin d’obtenir un système conforme à la norme ISO 27001 à la hauteur du RGPD.

 

Q: Pouvez-vous nous fournir plus d’informations sur les exigences concernant l’enregistrement des activités de traitement des données ? Quel niveau de détail est nécessaire ?

R: Le RGPD précise ce qui est nécessaire. Voir l’article 30 du règlement.

 

Q: Nous avons des centaines de dossier d’embauche que nous devons conserver un certain nombre d’années. Comment suggérez-vous que nous gérions ces dossiers tout en restant conforme au règlement ?

R: Inventoriez les dossiers, déterminez les raisons du traitement continu, déterminez la durée de rétention en conséquence.

 

Q: Quelle proportion du RGPD est technique – ex: mesures techniques et organisationnelles appropriées ? Est-il nécessaire de créer des politiques RGPD si vous avez couvert ces points dans votre politique de système de gestion de la sécurité de l’information (SGSI) ?

R: Le RGPD est une modernisation des lois de protection des données. Il met en avant le fait que la protection des données doit absolument être prise en compte dans la sécurité de l’information afin de préserver la confidentialité, l’intégrité et la disponibilité des données personnelles. L’objectif du RGPD est que la protection des données devienne la pierre angulaire de l’entreprise. Cela signifie que les mesures techniques et organisationnelles sont d’importance égale pour la conformité au RGPD. La répartition des mesures techniques et organisationnelles à mettre en place dépend de la nature et de la finalité du traitement. Il est donc probable que les entreprises qui ont développé un système de gestion de la sécurité de l’information aient de bonnes bases leur permettant de construire un cadre de conformité RGPD.

 

Q: Pour une entreprise de 10 à 15 employés, quel serait l’impact immédiat en termes de mise en place ? Que doivent-il faire pour se préparer ?

R: Dans un premier temps, les entreprises de toutes tailles doivent identifier les données qu’elles détiennent ou qu’elles traitent, où ces données ont été collectées et  si elles ont les permissions et les motifs appropriés pour continuer le traitement des données conformément au nouveau règlement. Ceci peut être fait via un exercice de cartographie des données qui vous permet d’identifier les étapes à suivre.

 

Suivez notre formation RGPD pour en savoir plus

Pour plus d’informations sur la conformité et la certification selon le RGPD, réservez votre place dès maintenant pour une de nos formations d’introduction et de spécialisation au RGPD. Et bénéficiez de 15% de réduction sur notre offre combinée de formation d’introduction et de spécialisation au RGPD.

Réservez votre place maintenant

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.