L'Expert pour votre Transformation Digitale et l'Accompagnement au Changement de l'Optimisation de vos Processus

  • Revue de presse Parker Williborg (cliquez sur le lien) :  Factures fournisseurs (Article Revue Archimag) & GDPR (Article Finance&Gestion Avril 2018)

La GDPR / RGPD (General Data Protection Regulation / Règlement Général sur la Protection des Données Personnelles) constituera le cadre réglementaire européen de la protection des données personnelles à compter du 28 mai 2018.

Ce règlement sera directement applicable dans les états membres de l’union européenne.  En France, elle a vocation à remplacer progressivement la loi Informatique & Liberté actuellement en vigueur, sous l’autorité de la CNIL  (Commission Nationale de l’Informatique et des Libertés).

Quelles sont les données concernées ?

La GDPR s’applique à différentes catégories de données à caractère personnel (DCP) :

  1. Les données dites sensibles :
    • L’origine raciale ou ethnique,
    • Les opinions politiques, religieuses, philosophiques, l’appartenance syndicale,
    • La donnée génétique, biométrique aux fins d’identification,
    • La santé, vie sexuelle, orientation sexuelle,
  2. Les données relatives aux condamnations pénales et effractions,
  3. Les données perçues comme sensibles (données fiscales, coordonnées bancaires et N° de Carte Bleue…),
  4. Les données administratives (adresse, numéros de téléphone, composition familiale…).

La GDPR encadre plus rigoureusement les 3 premières catégories. Le niveau de sensibilité des DCP est toutefois laissé à l’appréciation des Etats.

 

Quelles sont les principales exigences apportées par cette réglementation ?

1 - Les sanctions sont revues sensiblement à la hausse. En cas de non-conformité, les amendes possibles sont d’un montant significativement plus important : amendes maximales de 20 M€, ou 4% du Chiffre d’Affaires consolidé.

2 - Le champ d’application est étendu aux partenaires et sous-traitants. Le périmètre du responsable de traitement des DCP est étendu à son réseau de partenaires et de sous-traitants, en charge de tout ou partie du traitement de ces DCP (hébergement, archivage, impression de documents, envoi d’emails…).

3 - Le principe de responsabilisation (« accountability ») se substitue au principe de déclaration. A ce jour, les échanges avec l’autorité de contrôle, la CNIL, sont essentiellement des déclarations, sur initiative prise par le responsable de traitement. Demain, c’est un principe de démonstration qui s’appliquera ; toutes les preuves de la mise en conformité ou de son avancement doivent être mises à la disposition de l’autorité de contrôle.

4 - Une gouvernance spécifique à la GDPR doit être mise en place. Une structure de pilotage spécifique à la GDPR, en charge de son application et de son déploiement, est attendue. Pour toutes les entreprises de plus de 250 salariés, un responsable de la protection des données (DPO) devra être officiellement désigné auprès de l’autorité de contrôle.

5 - Les applications du système d’information doivent intégrer les règles de la GDPR (« Privacy By Design »). Dès la phase de conception, ces règles doivent être prises en compte ; notamment l’affectation d’une durée de conservation aux DCP ou le cryptage, l’anonymisation des DCP sensibles.

 

6 - Le devoir d’information à la personne doit être facilité et encadré. Toute personne ayant confié ses données personnelles doit pouvoir :

  • Autoriser explicitement le traitement de ses DCP et pouvoir retirer cette autorisation à tout moment.
  • Demander l’état des lieux, obtenir la restitution de ses DCP.
  • Demander la correction ou la suppression de ses DCP auprès du responsable de traitement, avec une propagation de la demande auprès des partenaires et des sous-traitants.

7 - En cas de détection de faille de sécurité, l’autorité de contrôle doit être impérativement alertée. Toute détection de faille en matière de sécurité, pouvant se manifester par une perte ou un vol de DCP doit être notifiée auprès de l’autorité de contrôle dans les 72 heures.

Fort de ses nombreuses références dans de multiples secteurs (Banques, Energie, Industrie, …), le Groupe et Parker Williborg intervient dans la mise en conformité réglementaire sur plusieurs thèmes :

  • L’assistance à l’organisation et au déploiement
  • L’aménagement des processus traitant des DCP, l’urbanisation des données personnelles pour maîtriser leur localisation et leur gestion.
  • L’accompagnement au changement, auprès des différentes populations internes ou externes confrontées à la collecte et la gestion des DCP
  • L’assistance à la gestion de la documentation en conformité avec les règles d’accountability,
  • Les pré-audits et les contrôles, indispensables pour l’obtention des agréments

Nos Références Majeures

  • AFPA
  • CNAMTS (Caisse Nationale d'Assurance Maladie des Travailleurs Salariés)
  • EDF
  • INSEE
  • SNCF
  • SOMFY
  • TOTAL
  • HSBC
  • RENAULT
  • ARVATO