RGPD épisode 2 : la cartographie des données

SPREAD

27 Nov 201707:35

Summary

TLDRCette vidéo explique les étapes essentielles pour mettre en place la conformité au RGPD dans une entreprise, en commençant par la cartographie des données personnelles. L'objectif est d'identifier où sont stockées les données, quels traitements sont effectués et d'analyser les risques associés. Le processus inclut aussi la gestion des données sensibles, la réalisation d'études d'impact et la création d'un registre des données. L'importance de former les employés et de mettre en place un plan d'action complet est également soulignée pour garantir une conformité continue et efficace.

Takeaways

😀 La cartographie des données personnelles est la première étape pour se conformer au RGPD. Elle consiste à identifier toutes les données personnelles présentes dans l'entreprise.
😀 Les données personnelles incluent non seulement des informations classiques comme le nom, l'adresse e-mail, mais aussi des éléments moins évidents comme les numéros de clients ou des données sensibles.
😀 L'objectif de la cartographie des données est d'identifier où elles sont stockées et d'analyser les traitements effectués sur ces données afin de détecter d'éventuels risques.
😀 Un responsable de la conformité, appelé Délégué à la Protection des Données (DPD), doit être nommé dans les grandes entreprises ou celles traitant des données sensibles, comme les données de santé.
😀 Pour les petites entreprises, il n'est pas obligatoire de nommer un DPD, mais une personne doit être responsable de la gestion des données personnelles et de la conformité RGPD.
😀 La cartographie des données comprend l'identification des lieux de stockage des données, la nature des données et les traitements effectués sur celles-ci.
😀 Une fois les données cartographiées, il est nécessaire d'étudier les flux de données, c'est-à-dire leur origine, leur parcours et leur destination.
😀 En fonction de la sensibilité des données, une étude d'impact sur la protection des données (EIPD) peut être nécessaire pour évaluer les risques liés à une fuite ou à une mauvaise exploitation des données.
😀 La cartographie des données est un processus long et minutieux, qui nécessite de consulter tous les services de l'entreprise pour identifier les données et les traitements associés.
😀 Les entreprises doivent également penser à des éléments annexes, comme les systèmes de sécurité (ex. digicodes, badges avec empreintes), qui font partie de la cartographie des données personnelles.
😀 Le registre des données personnelles est un élément essentiel de la conformité RGPD. Il sert de base pour prouver la conformité lors d'un contrôle et doit être régulièrement mis à jour.

Q & A

Qu'est-ce que la cartographie des données personnelles dans le cadre de la mise en conformité RGPD ?
-La cartographie des données personnelles consiste à identifier tous les lieux où sont stockées les données personnelles au sein de l'entreprise, ainsi que les traitements qui y sont associés, afin de repérer les risques potentiels liés à leur gestion.
Pourquoi est-il important de réaliser une cartographie des données ?
-La cartographie permet de comprendre où les données personnelles sont stockées et comment elles sont utilisées, ce qui est essentiel pour assurer leur protection et respecter les exigences du RGPD.
Quelles données sont considérées comme des données personnelles ?
-Les données personnelles incluent des informations permettant d'identifier une personne, telles que le nom, le prénom, l'adresse e-mail, l'adresse IP, ou même des numéros de client ou d'autres informations sensibles.
Qui est responsable de la mise en conformité RGPD dans une entreprise ?
-La mise en conformité RGPD peut être assurée par un Délégué à la Protection des Données (DPO) dans les grandes entreprises, mais dans les petites structures, une personne peut être désignée pour gérer cette conformité.
Quel rôle joue le DPO dans la conformité RGPD ?
-Le DPO est chargé de superviser et de garantir la conformité de l'entreprise avec le RGPD, notamment en veillant à la sécurité des données et en coordonnant les démarches de protection des données personnelles.
Que doit-on faire après avoir identifié les données personnelles dans l'entreprise ?
-Il faut ensuite analyser les traitements effectués sur ces données, déterminer d'où elles proviennent, où elles vont, et évaluer les risques associés à ces flux de données.
Qu'est-ce qu'une étude d'impact et pourquoi est-elle nécessaire ?
-L'étude d'impact (ou DPIA) évalue les risques pour la vie privée des individus lors du traitement de données personnelles sensibles. Elle est essentielle pour déterminer si un traitement présente des risques importants et comment les atténuer.
Comment les données sensibles, comme celles de santé, sont-elles gérées selon le RGPD ?
-Les données sensibles, comme celles de santé, nécessitent une attention particulière et peuvent obliger l'entreprise à réaliser une étude d'impact approfondie et à mettre en place des mesures de sécurité renforcées.
Quels sont les principaux types de données personnelles gérées dans une entreprise ?
-Les trois principales catégories de données personnelles sont celles des clients (contact, historiques), des employés (coordonnées, statut marital, informations bancaires), et des fournisseurs ou prospects.
Quel est l'objectif final de la cartographie des données dans le cadre de la conformité RGPD ?
-L'objectif final est de créer un registre des données personnelles, un élément essentiel pour la conformité RGPD, permettant d'avoir un aperçu clair des traitements effectués et de leurs risques associés.