Du changement du côté de la CNIL…

Parce qu’une nouvelle année nous amène son lot de changements, cette année c’est la CNIL doit se mettre à jour dans le cadre de l’application du RGPD (Règlement Général sur la Protection des Données). Ce dispositif européen vise à encadrer toutes les entreprises dans le traitement des données des citoyens européens.

Le renforcement des règles relatives à la protection des données à compter du 25 mai 2018 se traduira par un renforcement du contrôle par les citoyens de leurs données ainsi que par l’accroissement des avantages que pourront tirer les entreprises de conditions de concurrence équitables. Un seul ensemble de règles pour toutes les entreprises exerçant des activités dans l’UE, indépendamment du lieu où elles sont établies.

La CNIL a publié en janvier dernier un parcours de 6 étapes et 17 fiches qui visent à mieux appréhender les enjeux de la sécurité des données informatiques :

  1. Sensibiliser les utilisateurs
  2. Authentifier les utilisateurs
  3. Gérer les habilitations
  4. Tracer les accès et gérer les incidents
  5. Sécuriser les postes de travail
  6. Sécuriser l’informatique mobile
  7. Protéger le réseau informatique interne
  8. Sécuriser les serveurs
  9. Sécuriser les sites web
  10. Sauvegarder et prévoir la continuité d’activité
  11. Archiver de manière sécurisée
  12. Encadrer la maintenance et la destruction des données
  13. Gérer la sous-traitance
  14. Sécuriser les échanges avec d’autres organismes
  15. Protéger les locaux
  16. Encadrer les développements informatiques
  17. Chiffrer, garantir l’intégrité ou signer

Pour avoir une vision plus claire du RGPD,  voici l’infographie du site de la Commission Européenne.

Ce qui va changer pour votre entreprise (si vous ne l’avez pas déjà fait) selon la Commission Européenne :

  • “Employez des termes simples, informez-leur de votre identité lorsque vous traitez leurs données et expliquez-leur pourquoi vous traitez leurs données et indiquez combien de temps elles seront stockées et qui en sera le destinataire.
  • Obtenez un consentement clair des personnes concernées pour traiter leurs données.
    Vous recueillez des données liées à des enfants pour les médias sociaux? Vérifiez la limite d’âge pour obtenir l’accord parental
  • Donnez aux personnes concernées les moyens d’accéder à leurs données et de les transmettre à d’autres entreprises.
  • Informez les personnes concernées des violations de données en cas de risque majeur.
  • Octroyez aux personnes concernées le «droit à l’oubli». Supprimez leurs données à caractère personnel si elles en font la demande, mais uniquement si cela ne compromet pas la liberté d’expression ni la possibilité de faire des recherches.
  • Octroyez aux personnes concernées le droit de s’opposer au traitement de leurs données par du marketing direct.
  • Mettez en place des garanties supplémentaires pour la protection des informations relatives à la santé, à la race, à l’orientation sexuelle, à la religion et aux opinions politiques.
  • Prenez des dispositions juridiques lorsque vous transférez des données vers des pays qui ne sont pas approuvés par les autorités de l’UE.”

Pour aller plus loin … Un nouveau guide de la sécurité des données personnelles.