RGPD : Règlement Général sur la Protection des Données

Orange Business Services à vos côtés pour assurer votre conformité

Le RGPD, qu’est-ce que c’est ?

Le RGPD (Règlement général de la protection des données), en anglais GDPR (General Data Protection Regulation), crée un cadre unique et harmonisé au sein de l’Union Européenne pour le traitement des données personnelles de ses résidents et de ses citoyens.

 

Ce règlement concerne chaque entreprise qui collecte, traite et stocke des données personnelles* appartenant à des résidents ou citoyens de l’Union Européenne. L’objectif du RGPD est de s’assurer que les personnes puissent contrôler comment l’information les concernant est utilisée, ainsi que d’assurer la protection proactive et l’utilisation au strict nécessaire des données des citoyens. Les données personnelles des individus pourront uniquement être utilisées dans un but défini préalablement et auquel l’individu aura donné son consentement explicite.

Le RGPD exige que les entreprises aient une image sincère de leur parc informatique et leur impose de savoir où exactement sont stockées toutes les données.

Il concerne : les responsables de traitement (ou « data controller ») et les sous-traitants (ou « data processor »). Concernant les traitements antérieurs au 25 mai 2018, les entreprises disposent d’un délai de deux ans pour se mettre en conformité, soit 2020.

Cette réglementation sur la protection des données personnelles offre un marché fiable et conforme pour le cloud et les technologies innovantes.

Les droits, obligations et sanctions liés au RGPD

Le RGPD reprend les bases des lois informatiques et libertés antérieures

Le RGPD reprend et remplace les lois informatiques et libertés en vigueur : la loi de 1978 (qui a créé la CNIL), la directive européenne de 1995 et le décret d’octobre 2005 qui l’a transposée. Il est en outre complété par la « loi informatique et liberté 3 » de juin 2018.

Les droits « historiques » à la rectification et à l’opposition, ainsi que les obligations de transparence, de licéité de traitement, de rétention et de collecte proportionnées persistent donc.

Renforcement du droit des personnes

Le RGPD (Règlement général de la protection des données), définit un cadre unique et permet aux individus d’avoir davantage de droits et de contrôle sur l’utilisation de leurs données personnelles

  • Droit à l’effacement de données personnelles (droit à « l’oubli »)
  • Droit à la portabilité des données personnelles

Obligations des responsables de traitement

Le RGPD définit surtout quelques nouvelles obligations essentielles :

  • Obligation d’obtenir le consentement explicite positif des personnes pour le traitement de leurs données personnelles
  • Être en mesure de démontrer sa conformité au règlement – notamment tenir un registre des activités de traitement et mettre en place une traçabilité globale
  • Obligation de notification des violations de données personnelles (vol de données, divulgation abusive…)

Sanctions

En cas de non-respect du RGPD les entreprises peuvent recevoir des amendes administratives. Celles-ci peuvent s’élever jusqu’à 2% du CA annuel mondial ou 10M€ (montant le plus élevé) pour des manquements de base (absence de protection des données, carence de notification, pas d’analyse d’impact réalisé…) voire jusqu’à 4% du CA annuel mondial ou 20 millions d’euros (montant le plus élevé) pour le non-respect des principes de base d’un traitement, des droits des personnes ou des règles de transfert de données.

Nos conseils pour une bonne conformité RGPD

Le voyage de la donnée personnelle et les bonnes pratiques RGPD

En tant que « responsable de traitement » vous devez :

  • Effectuer une analyse d’impact sur la vie privée (« privacy impact assessment ») des traitements les plus sensibles
  • Concevoir les services avec des mesures de protection des données (« privacy by design »)
  • Limiter la collecte, la conservation et l’accès des données sensibles au strict nécessaire à la finalité du traitement
  • Mieux informer les personnes quant aux traitements de leurs données (collecte, finalité)
  • Notifier les personnes concernées et les autorités en cas de fuite de données personnelles

La sécurité est aujourd’hui un véritable enjeu business

  • Foisonnement des lois régionales sur la protection des données (EUR, APAC, US…)
  • Explosion du Cybercrime ; failles & vols de données tous les jours

En tant que fournisseur (« data processor ») nous garantissons à nos clients qui sont responsables de traitement (« data controllers »), que nos services et plateformes sont conformes RGPD et respectent l’état de l’art des services cloud.

Vous travaillez au sein d’un service IT ? Vous avez en charge une DSI ? Quelles sont les principales questions RGPD que vous devez vous poser ?

    • Êtes-vous un data processor* ou un data controller*  traitant des données au sein de l’Union Européenne ou traitant des données de citoyens ou résidents de l’UE ?
    • Êtes-vous capables de notifier une fuite de données aux autorités de régulation et aux clients concernés sous 72h ?
    • Gérez-vous de manière large ou systématique des données sensibles (y/c les données de vos employé(e)s) ?
    • Avez-vous mis en œuvre un programme de protection des données et pouvez-vous fournir des preuves de votre conformité RGPD ?
    • Intégrez-vous les enjeux de sécurité dès la phase de design et de développement de vos (nouvelles) offres et process business ?
    • Savez-vous comment assurer les nouveaux droits des usagers : droit à l’oubli, à la portabilité des données, à l’objection au profiling?

Orange, votre partenaire de confiance sur le RGPD

  • 1200 experts sécurité maitrisant le RGPD
  • 160 experts dédiés portail web
  • 700 experts IoT & Data Analytics
  • Une implication forte dans la protection de vos traitements et de vos données
  • Des équipes dédiées à la conformité des processus et des offres
  • Des experts et des solutions pour protéger vos données personnelles et en créer de la valeur

Nos atouts dans les services cloud

Localisation des données (FR, EUR, APAC, US)

Le RGPD oblige à tracer les données personnelles. Avec Orange Business Services, vos données restent où vous le voulez (Données clients – et Backups – localisés)

Certifications renouvelées

Pour être conforme RGPD et vous assurer une sécurité renforcée, nos certifications sont renouvelées tous les ans (ISO 27001, ISO 20000-1, ISAE 3402…).

Audits techniques réguliers
Une équipe sécurité dédiée pour aider à des certifications additionnelles (PCI-DSS, HADS…)

Nos experts vous accompagnent dans votre démarche de mise en conformité RGPD de bout en bout, de la définition du périmètre de vos services jusqu’à la présentation du rapport final, et vous permettent d’évaluer votre maturité sur le RGPD.

Définitions

*Données personnelles : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.  » Art. 2 de la loi « Informatique et libertés »
*Data processor : les sous-traitants
*Data controller : les responsables de traitement
Vous avez un projet ?
Notre solution vous intéresse ?
Nous vous répondrons sous 48 heures.
Nos offres