Foire aux questions RGPD
FAQ RGPD Généralités
Oui, vous devez vérifier la conformité de vos traitements de données personnelles. Le RGPD rend obsolète la quasi totalité des déclarations faites à la CNIL.
En dehors des demandes d’autorisation spécifiques, ces formalités n’existent plus et sont remplacées par un principe de responsabilisation: je dois m’assurer d’être conforme et être en mesure de le démontrer.
Pas vraiment. Et entre nous, faites attention aux arnaques….!
Il est possible d’adhérer à des codes de conduite spécifiques par secteur d’activité (lorsqu’il en existe), ou au standard ISO27701 mais cela n’est pas considéré, à ce jour, comme une certification par la CNIL.
Le principe du RGPD est de vous inciter à vérifier vos traitements de données personnelles.
Il n’y a pas de seuil de salariés, ni de critère de chiffre d’affaires pour être concerné par le RGPD, toutes les structures sont susceptibles d’être concernées.
Cela dépend du type et du volume de données personnelles traitées.
Il n’y a pas de seuil de salariés, ni de critère de chiffre d’affaires pour être concerné par le RGPD, toutes les structures sont susceptibles d’être concernées.
Cela dépend du type et du volume de données personnelles traitées.
Il n’y a pas de statut spécifique, ou de métiers ciblés, toutes les organisations sont susceptibles d’être concernées, dès lors qu’elles traitent régulièrement des données personnelles. Cela dépend du type et du volume de données personnelles traitées. Dans le secteur industriel, les traitements de données personnelles concernent souvent la gestion du personnel. Vigilance particulière sur la vidéo surveillance des entrepôts et ateliers, ainsi que sur la géolocalisation des véhicules de société.
Il n’y a pas de statut spécifique, ou de métiers ciblés, toutes les organisations sont susceptibles d’être concernées, dès lors qu’elles traitent régulièrement des données personnelles. Cela dépend du type et du volume de données personnelles traitées.
Tout à fait! Vous restez responsable des données que vous confiez à des prestataires informatiques. Il est donc nécessaire de vous assurer qu’ils présentent des garanties suffisantes en matière de «conformité RGPD» en particulier concernant leurs mesures de sécurité. Vous devez aussi leur donner des instructions relatives aux traitements de données que vous leur confiez (contrat).
FAQ Prestations Diag Audit
Ce diagnostic permet d’avoir une vision d’ensemble sur le dispositif que vous avez mis en place ( ou devez mettre en place ), sur les principaux traitements de données que vous mettez en oeuvre, sur les mesures de sécurité que vous avez mises en place et si vous en avez sur votre site web et espace client.
Lors de la réunion de clôture, un rapport vous est livré en PDF, c’est un outil précieux d’aide à la décision pour prioriser les actions à mener, en fonction de votre contexte, de vos risques, et avoir à un instant T une photographie de votre niveau de conformité. Il s’agit d’un audit conseil en version simplifiée en général couplé avec un accompagnement à la mise en conformité.
Tout comme le diagnostic RGPD, l’Audit est un outil d’amélioration continue: il permet de faire le point sur l’existant afin d’identifier les points faibles ou non conformes. Ce constat permet de prioriser les actions à mettre en oeuvre pour corriger les écarts relevés.
La réalisation de l’audit comme du diagnostic conduit l’auditeur à mener des opérations d’évaluation, d’investigation, de vérification ou de contrôle. L’audit RGPD couvre les items de manière plus détaillée que le diagnostic RGPD et s’appuie sur une analyse des risques davantage approfondie.
L’audit RGPD ne peut suivre immédiatement les prestations de conseil ou d’accompagnement d’i-etix : pour assurer l’objectivité et l’indépendance des évaluations, i-etix préconise un délai de deux ans avant de mener un audit après une prestation d’accompagnement/conseil.
Cela dépend notamment de la base documentaire dont vous disposez et du nombre de traitements de données que vous réalisez, votre contexte n’est pas la même que celui de votre voisin. C’est pourquoi i-etix ajuste la prestation à chaque entreprise..
L’audit peut intéresser n’importe quel type de structure, qu’un dispositif RGPD soit déjà en place ou pas. L’audit va permettre d’évaluer le niveau de maîtrise des dispositif en place et là où il n’y a pas de dispositif, l’audit va permettre d’identifier les thématiques les plus à risques et les moins maîtrisées, donc à couvrir de manière prioritaire.
En premier lieu le profil de l’entreprise est établi: cela permet d’exclure les exigences qui ne vont pas la concerner. Ensuite sur la base d’une trame, i-etix aide l’entreprise à évaluer ses risques inhérents.
Puis i-etix passe en revue les pratiques en place par thématique: cela permet d’évaluer le niveau de maîtrise, les risques résiduels et les actions à mettre en place.
Lors de la réunion de clôture, un rapport PDF est livré, accompagné d’un plan d’actions.
Non, ce n’est pas nécessaire. Néanmoins un interlocuteur privilégié doit être identifié, il est nécessaire qu’une personne pilote le dispositif RGPD et veille à l’implémentation des recommandations issues de l’audit.
FAQ Prestations Formations
Ce qui est nécessaire c’est de former les personnel qui traite des données personnelles ainsi que le responsable de traitement. Comprendre les exigences en matière de protection est une nécessité pour appliquer les pratiques adéquates au quotidien.
Une formation RGPD doit permettre d’appréhender les principes fondamentaux de la réglementation, mais surtout de comprendre et assimiler comment cela s’applique au métier concerné.
Un e-learning est une formation proposée à distance : le participant suit un parcours de formation, en autonomie, à son rythme.
Lors des premiers échanges, nous évaluons ensemble vos besoins, les cas pratiques des formations standard sont systématiquement ajustés à votre contexte. Si besoin i-etix vous propose un programme sur mesure.
Il s’agit d’une formation qui se déroule dans les locaux de l’entreprise cliente. Elles sont en général en nombre de participants imités pour permettre une interaction efficace entre le formateur et les apprenants. Les formations proposées par i-etix comprennent une partie théorique adaptée à l’activité de l’entreprise et une partie cas pratique au cours de laquelle des livrables spécifiques à l’entreprise sont réalisés.
Oui, le contenu et la forme du e-learning peuvent être personnalisés.
Le e-learning peut être suivi depuis n’importe quel type de terminal: ordinateur, Laptop, tablette, smartphone.
FAQ Prestations Conseils
Contactez i-etix un entretien préalable permettra de préciser vos besoins.
Certains organismes sont dans l’obligation de désigner un DPO mais n’ont pas les ressources en interne. Dans ce cas il leur est possible de désigner un DPO (délégué à la protection des données) externe à leur organisme, sous couvert d’un contrat de prestation de service et à condition que cette personne remplisse les critères de compétences exigées par le RGPD (art. 37.5)
Une AIPD - Analyse d’Impact sur la Protection des Données - est une étude de risques à mener lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées
Pour vérifier faites le diagnostic gratuit proposé par i-etix: cliquez ici
De manière synthétique, une AIPD contient à minima les éléments ci-dessous:
- Description du traitement de données personnelles
- Analyse du respect des principes fondamentaux
- Évaluation des risques sur la sécurité des données personnelles et de leurs impacts pour les personnes concernées
- Évaluation de l’adéquation des mesures de sécurité
- Définition des mesures complémentaires le cas échéant.
FAQ Ass Expresse
Lorsque vous envisagez de mettre en œuvre un nouveau traitement de données, par exemple vous souhaitez installer un système de vidéosurveillance dans les locaux de l’organisme, vous devez au préalable vous assurer de sa conformité. i-etix peut vous aider à établir les critères de conformité et rédiger les spécifications attendues pour les prestataires qui vous proposeront le système.
Non, i-etix ne délivre pas de garantie de conformité, ce type de garantie n’existe pas. Il est du reste rare (impossible?) d’atteindre le 100% conforme en matière de protection des données notamment car les exigences portent sur de nombreux aspects: aussi bien techniques, qu’organisationnels. Il s’agit d’une approche par les risques: l’objectif est de réduire au maximum les risques liés au traitement de données personnelles.
Vous avez une question précise? un problème épineux? Pointu? Envoyez votre demande à i-etix pour obtenir une réponse rapide (72h) et personnalisée.