Suis-je éligible au RGPD ?

Les textes sont très clairs. La mise en place d’un registre des traitements est obligatoire pour les sociétés de + de 250 employés. Il s’applique aux entreprises qui sont en-deçà de cet effectif dès lors que le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, qu’il n’est pas occasionnel ou qu’il porte sur des catégories particulières de données comme par exemple : les données sur des origines raciales ou ethniques, opinions politiques, convictions religieuses, philosophiques ou appartenance syndicale, données génétiques ou biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou celles concernant la vie ou l’orientation sexuelles d’une personne physique et enfin celles relatives à des condamnations pénales.

Que dois-je faire pour être conforme ?

Pour se conformer, votre organisation doit rapidement cartographier l’ensemble des traitements, physiques ou technologiques, qui impliquent des données personnelles ou susceptibles d’établir par croisement une identification d’une personne unique. Sous le contrôle du régulateur, une étude d’impact sur la vie privée doit ensuite être menée pour les traitements à risque. Enfin, vous devrez mettre en place un protocole permettant de notifier les failles de sécurité à la CNIL et, le cas échéant, aux personnes concernées, dès lors qu’une suspicion d’intrusion ou de fuite est détectée. L’ensemble de ces activités fait partie des prérogatives de votre délégué à la protection des données (DPO – Data Protection Officer). Fonction qui, si elle n’existe pas encore dans votre entreprise doit être créée au plus tôt.

Qu’entend-t-on dans le réglement par « Accountability » ?

Le cadre juridique du RGPD introduit une nouvelle sémantique et un ensemble de nouveaux termes. Ainsi la notion « d’obligation de déclaration» n’existe plus tandis que celle « d’information» subsiste. Concernant l’« accountability » il n’y a pas de traduction littérale en français. Ce principe suit une logique de conformité et non plus une logique déclarative comme c’était le cas jusqu’à présent. Le RGPD impose ainsi au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect de la réglementation.

Que veut dire « PRIVACY BY DESIGN » et « PRIVACY BY DEFAULT » ?

Les principes de « protection des données dès la conception (privacy by design) et par défaut (privacy by default) » définis à l’article 25 du règlement européen impliquent que les données collectées soient limitées au strict besoin de traitement et proprement sécurisées. Les entreprises seront désormais tenues d’anticiper les sujets relatifs aux traitements de données dès les premières étapes de leurs projets informatiques, afin qu’il soit vérifié en amont que les développements à intervenir ou les logiciels à implémenter, sont conformes aux exigences imposées par le règlement.

Comment savoir si je suis compliant RGPD ? IDnomic peut-il m’accompagner pour la mise en conformité ?

La mise en conformité de votre entreprise pour le traitement des données personnelles est un processus à la fois organisationnel, juridique et technologique. Il couvre aussi bien la protection des données de vos collaborateurs que celles de vos clients ou vos fournisseurs. IDnomic a mis en place une méthode d’audit flash permettant de vous fournir un état des lieux objectif de votre niveau de compliance. Contactez-nous !

Je suis client Cloud : Quelles sont les garanties apportées par IDnomic en tant sous-traitant ?

Véritable industriel se mettant au service d’une ou de plusieurs Autorités de Certification, IDnomic est un Tiers de Confiance en charge de la fabrication technique du certificat électronique pour le compte et sur l’ordre de l’Autorité de Certification. Il s’agit d’une prestation industrielle, d’une relation de sous-traitance technique en mode Cloud. Le centre de production d’IDnomic est disponible à l’usage exclusif d’IDnomic, doté de moyens de protection physique et électronique (contrôle d’accès, systèmes anti-intrusion, vidéo-protection…), il est organisé en différentes zones d’accès physique et reste placé sous le contrôle unique d’IDnomic 24h/24, 7j/7. Un suivi rigoureux et unitaire des éléments sensibles (clés cryptographiques, matériels informatiques, principe des secrets partagés et de séparation des rôles, etc.) est pratiqué par une équipe multi compétences : R&D, engineering, sécurité, opération. Des moyens de supervision et de remontée d’alerte complètent le dispositif afin d’assurer un contrôle continu et permanent des opérations. De plus, en tant que sous-traitant basé en France, nous avons mis à jour nos conditions contractuelles pour tenir compte des exigences requises par le RGPD dans ce domaine. Contactez-nous !

Mon produit IDnomic est-il compatible avec le respect des nouvelles normes ?

Les entreprises seront désormais tenues d’anticiper les sujets relatifs aux traitements de données dès les premières étapes de leurs projets informatiques, afin qu’il soit vérifié en amont que les développements à intervenir, où les logiciels à implémenter, seront conformes aux exigences imposées par le règlement. Le responsable du traitement devra ainsi « implémenter les mesures techniques et organisationnelles appropriées, telles que l’anonymisation, qui sont conçues pour mettre en œuvre les principes de protection des données, […] d’une manière effective et d’intégrer les protections nécessaires dans les traitements de manière à respecter les exigences du règlement et à protéger les droits des intéressés.» La mise en conformité nécessite donc une totale maîtrise de l’outil et des procédures organisationnelles (analyse de risque, étude d’impact sur la vie privée, accountability). Les engagements IDnomic vis à vis de ses clients visent à garantir non seulement la délivrance des services de PKI dans des conditions de sécurité appropriées (disponibilité, intégrité, confidentialité, authentification, …) mais aussi les performances de délivrance de ces services, leur constance et la capacité de prévenir, détecter, corriger toute anomalie selon des process éprouvés et dans la plus grande transparence. Que vous utilisiez nos solutions en SaaS ou on-premise, IDnomic s’engage à vous fournir, dans la mesure de son expertise et de son domaine d’activité les conseils et l’accompagnement nécessaire pour vous mettre en conformité avec les exigences du RGPD en vous appuyant le plus possible sur les solutions IDnomic que vous possédez déjà.