Question fréquente sur la RGPD
Q: Quels sont les points du RGPD qui posent encore des difficultés aujourd’hui ?
Les entreprises s’interrogent sur la façon dont les plaintes sont traitées en collaboration entre les CNIL européennes. Nous avons aussi beaucoup de questions sur les obligations des entreprises, notamment sur le registre des données, sur les données qu’elles peuvent traiter ou sur les notifications de violation de données. Depuis le RGPD, les entreprises doivent notifier les violations de données dans les 72 heures.
Q: Quel est la meilleur méthode de contact
Un premier contact par téléphone permet au client d’exposer son problème. Le cabinet peut ainsi constater si le dossier relève de ses compétences. Si tel est le cas, le client envoie les éventuels documents nécessaires et le cabinet étudie le dossier. Le client rencontre ensuite les membres du cabinet dans le cadre d’une consultation. Le cabinet recueille les informations, se voit préciser les données, explique l’état du RGPD et réfléchit avec le client à la stratégie de mise en place de la RGPD.
Q: Les solutions logiciel fonctionnelle ?
Oui et non. Dans le groupe de travail DPO avec des collègues des autres entreprises, nous avons beaucoup de retours de clients pas contents du tout. Les clients optent pour des solutions logiciel en ligne qu’ils ont vues sur internet au début. Pensant faire une bonne affaire, au final ils les abandonnent, car ils ne comprennent rien du tout n’a ces interfaces ou il faut cliquer partout. Surtout au niveau de l’ERP, l’analyse des risques est compliquée et à force de temps il en arrive à dire que c’est un Clikodrome et abandonne les logiciels RGPD en ligne pour revenir au papier qui est plus clair et plus limpide.
Q: Une fois ma mise en conformité validée par un DPO que dois je faire après ?
Une fois fini, le client doit pouvoir être autonome au niveau de la gestion du dossier. Savoir répondre a l’autorité de contrôle, sensibilisai les salariés de l’entreprise, mettre en place une stratégie d’acquisition des données, nommé des responsables, mise a jours des données tec ..
Q: Doit ont être certifier ISO27001 ?
Non, c’est surtout les grandes entreprises actives dans le domaine des serveurs qui doivent preuve d’une gestion des risques pour les clients et mettre en œuvre une approche sur la protection des données.
Q: Faut-il faire une DPIA ?
Une analyse des risques n’est valable que pour les données sensibles: ADN, biométriques, racial, etc.
Libre circulation des données non personnelles
Moins médiatisé que son prédécesseur sur les données personnelles, un autre règlement européen a été adopté le 14 novembre 2018 et prévoit des règles spécifiques visant à lever deux obstacles au développement de l’économie des données, non personnelles cette fois, au sein de l’Union : les exigences de certaines autorités nationales quant à la localisation de données sur le territoire de l’Etat membre concerné et les pratiques menant à une dépendance à l’égard des fournisseurs dans le secteur privé.
Le règlement devra permettre un déploiement efficace des projets IoT (internet des objets), d’intelligence artificielle et d’apprentissage automatique, qui représentent des sources importantes de données à caractère non personnel.
Ce règlement qui entrera en vigueur mi-mai 2019, s’applique aux fournisseurs de services de traitements de données électroniques dans l’Union, donc soit parce-qu’il est fourni aux utilisateurs résidant ou disposant d’un établissement dans l’Union, soit parce que le prestataire réside ou dispose d’un établissement dans l’Union.
Les États membres devront veiller, d’ici le 30 mai 2021, à ce que toute exigence existante de localisation des données qui est établie dans une disposition législative, réglementaire ou administrative de nature générale et qui n’est pas conforme au principe de libre circulation soit abrogé, sauf si elle est justifiée par des motifs de sécurité publique, et dans le respect du principe de proportionnalité. Cette règle nouvelle ne devra pas affecter le pouvoir des autorités nationales compétentes de demander ou obtenir l’accès à des données, même localisées dans un autre Etat membre.
Le règlement incite également à la mise en place de codes de conduite en vue d’assurer le portage des données dans des formats structurés, usuels et lisibles par machine, notamment dans des formats standards ouverts, en vue de faciliter le changement de fournisseur.
Q : Tous les DPO sont-ils capables de faire une analyse des risques DPIA ?
Non, beaucoup n’ont jamais fait une analyse des risques. Surtout au niveau du cursus, les élèves sont incapables de faire une DPIA. Beaucoup de DPO ne font qu’une mise en conformité et délègue cette tache a d’autre qui possède le savoir.
Q: Le marketing des solutions logiciel en ligne.
Il faut se méfier de tout ce qui est beau et qui brille avec des slogans accrocheurs. Le but est de vous vendre une solution logiciel qui va vous coûté un max d’argent une fois souscrit et puis faudra déboursé encore plus d’argent si vous avez plus de données a géré. La solution logiciel ne remplacera jamais l’homme.
Q: Faut-il se méfier des avocats et des DPO sur le marché ?
Oui, certains travaillent pour les éditeurs de logiciel, il touche des commissions. Chez nous et dans notre groupe de travail, nous sommes contactés par des éditeurs de logiciel RGPD/GDPR pour vendre la solution aux clients et toucher de l’argent. En quelque sorte ils veulent que l’ont devienne des esclaves sans cerveau d’une application. Mais nous refusons, aucune n’est bien sur le marché.
Q: Dois recourir à une solution logiciel pour une base de données avec les données privées ?
Non. Une simple feuille Excell peut faire office de BDD. ont utilisera une BDD pour stocker des millions de données, par exemple une plateforme d’E-commerce.
Q: Comment je peux faire ma cartographie des données ?
Vous pouvez utilisé comme chez nous un logiciel openmind, certain sont gratuit et d’autre payant.
https://www.lucidchart.com/pages/fr/logiciel-de-cartographie-des-processus?a=0
Qui est le sous-traitant ?
Dans la réalité, les frontières peuvent se brouiller entre ces deux intervenants. Lorsque les données sont hébergées dans une solution Saas dont les fonctionnalités et caractéristiques techniques sont définies par le fournisseur, celui-ci est-il encore le sous-traitant des données personnelles ? Lorsqu’une entreprise héberge physiquement des données personnelles mais n’y a pas logiquement accès, est-elle sous-traitante ?
Ne cherchez pas la réponse à ces questions dans le RGPD, ces subtilités techniques sont passées au-dessus de la tête du législateur européen qui vit encore sur le mythe du « contrôleur » qui décide de tous et d’un sous traitant qui ne fait qu’exécuter docilement. La conservation physique des données sans accès logique aux données fait-il du datacenter un sous-traitant ?
Le sort des données personnelles au Royaume-Uni apres le Brexit
Au sein de l’Union européenne, les données personnelles peuvent librement circuler. Cela signifie notamment qu’une entreprise française peut avoir ses systèmes d’information hébergés dans n’importe quel Etat membre, notamment le Royaume-Uni.
Lorsque les données personnelles doivent quitter l’Union européenne, la législation (la loi du 6 janvier 1978 et le RGPD) ne permet cette sortie que vers des pays « offrant un niveau de protection adéquate ». Ne sont reconnus comme offrant un niveau de protection adéquate que les pays pour lesquels la Commission européenne a pris une décision d’adéquation. Par exemple, fin janvier 2019, le Japon a ainsi fait l’objet d’une décision d’adéquation permettant le transfert des données personnelles vers ce pays sans contrainte spécifique.
Dans le cadre de son plan d’urgence pour le Brexit, la Commission européenne a fait savoir qu’elle n’entendait pas prendre une telle décision d’adéquation s’agissant du Royaume-Uni une fois celui-ci hors de l’Union européenne. Il conviendra donc de mettre en œuvre les autres mécanismes juridiques qui permettent de « sortir » des données personnelles en dehors du territoire de l’Union européenne. Il s’agit principalement des « clauses contractuelles type » et des « règles contraignantes d’entreprise ».
Les entreprises ayant des données personnelles localisées au Royaume-Uni devront donc soit rapatrier ces données dans un Etat membre de l’Union européenne, soit conclure avec l’entité britannique qui traite ces données un contrat spécifique pour permettre la poursuite de cet hébergement conformément aux clauses contractuelles types fournies par la Commission européenne. Les règles contraignantes d’entreprise, de par la relative lourdeur du mécanisme de leur adoption, ne peuvent être envisagées qu’au sein des groupes de sociétés présents des deux côtés de la Manche et pas dans une simple relation client / fournisseur de service.
