Mise en conformité au RGPD

Publié le par

Qu’est ce que le RGPD ?

Le Règlement Général sur la Protection des Données européen est applicable depuis le 25 Mai 2015.
Les organismes doivent assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Préparez-vous en 6 étapes* : 

  1. DÉSIGNER UN PILOTE
  2. CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
  3. PRIORISER LES ACTIONS À MENER
  4. GÉRER LES RISQUES
  5. ORGANISER LES PROCESSUS INTERNES
  6. DOCUMENTER LA CONFORMITÉ

 

La mise en place du RGPD dans notre progiciel de gestion intégrée ANT

Le responsable d’un traitement sur des données personnelles doit répondre à un ensemble d’obligations définies dans le RGPD, dont voici les principales :
Protection des données par la mise en oeuvre de mesures techniques et organisationnelles (données et traitements doivent être sécurisés).
Protection des données dès la conception (ou “Privacy by Design”) et protection des données par défaut (ou “Privacy by Default”).
Tenue du registre des activités de traitement.
Notification des violations de données personnelles.
Réalisation éventuelle d’analyses d’impacts (sur des traitements “à risques”).

  • ANT : Chiffrement et protection des données

Dans ANT, le chiffrement et la protection des données à caractère personnel est un point indispensable, mais non suffisant, pour respecter le RGPD.
L’identification des utilisateurs des applications accédant aux données est un aspect primordial.
À quoi bon crypter les données si tous les utilisateurs peuvent avoir accès aux clés ? Il est donc indispensable d’identifier précisément les actions des utilisateurs concernant des données personnelles : que ce soit le simple accès (s’ils y sont autorisés), la raison et la tenue d’un historique.

  • ANT : Cryptage des données

En plus du compte du serveur de nos bases de données qui requiert un utilisateur et un mot de passe pour se connecter, chaque fichier de données (table) sensible est protégé par un cryptage et un mot de passe (algorithme de cryptage RC5 16 boucles). Pour une sécurité maximale du cryptage, ANT crypte les données sans stocker la clé de cryptage dans le fichier. Avec cette option et sans le mot de passe du fichier, il est impossible de récupérer le contenu du fichier de données.

  • ANT : Pseudonymisation

Dans ANT, la pseudonymisation consiste à générer un “identifiant” qui permet d’établir le lien entre les différentes informations des personnes. Comme le stipule l’article 4.5 qui indique  que le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

  • ANT : Registre des traitements

Le registre des traitements d’ANT permet de connaître l’utilisation des données “personnelles” dans notre progiciel. 

Références

https://www.cnil.fr/fr
RGPD, journal officiel : “http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR”
Commissaire à l’information et à la protection de la vie privée de l’Ontario : “https://www.ipc.on.ca”

Publié dans ANT