Fiche pratique @CCIFrance pour comprendre le Règlement Général sur la Protection des Données #RGPD

cyber-securite

RGPD : Toutes les entreprises qui possèdent des fichiers contenant des données à caractère personnel sont concernées.

Le règlement n°2016/679 du 14 avril 2016, dit règlement général sur la protection des données (RGPD) constitue le nouveau texte de référence européen en matière de protection des données personnelles. ll remplace la directive adoptée en 1995 qui a donné lieu à des différences d’interprétation et renforce la protection des données pour les individus au sein de l’UE. Il est d’application directe sur tout le territoire de l’Union et entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées dès lors qu’elles possèdent des fichiers contenant des données à caractère personnel de résidents européens quelle que soit leur nationalité.

Quel est l’objet du RGPD ?

Le RGPD vise à créer pour l’UE un cadre renforcé et harmonisé de la protection des données  tenant compte des récentes évolutions technologiques (Big Data, cloud computing, objets connectés, Intelligence Artificielle, …) et des défis qui accompagnent ces évolutions.

L’individu est placé au cœur du dispositif légal en renforçant ses droits (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, …).

En parallèle les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services sont   sont amplifiés.

Ces contraintes s’appuient notamment sur les principes de « Privacy by Design » et « d’accountability » (voir lexique en bas de page). Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

« Le RGPD vu par le youtubeur Cookie connecté » réalisée avec la CNIL

Quels sont les principales mesures du RGPD ?

  • Réalisation d’une analyse d’impact avant la mise en place d’un traitement de données
  • Consentement clair et explicite à la collecte des données
  • Accès facilité de la personne à ses données (Droit à l’oubli – Droit de portabilité)
  • Notification des violations de données personnelles (« Data Breach Notification »)
  • La création et la maintenance d’un registre des traitements devient obligatoire
  • Création des délégués à la protection des données (DPD ou DPO, Data Protection Officer) dans certains cas : organismes publics, organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, …
  • Transfert des données soumis à vérification
  • Restriction du profilage automatisé servant de base à une décision
  • Aggravation des sanctions (de 10 à 20 M€ ou de 2 à 4% du CA annuel mondial)

Quelles sont les actions à enclencher dans l’entreprise ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :

  • Désigner un Délégué à la protection des données (DPD ou DPO, Data Protection Officer))
  • Cartographier les traitements actuels et déterminer leurs finalités ainsi que leur durée
  • Créer un registre des activités de traitement
  • Revoir les contrats de sous-traitance informatique et de gestion des données, les sous-traitants devant faire la démonstration de la conformité au RGPD de leurs solutions
  • Assurer la transparence et l’information des personnes dont les données vont faire l’objet d’un traitement (consentement clairement obtenu), les informer d’incidents de traitement
  • Notifier à la CNIL dans les 72h la survenance d’une faille ou intrusion
  • Regrouper la documentation nécessaire pour démontrer la conformité au règlement
  • Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
  • Réaliser des études d’impact.

Lexique

Qu’est-ce qu’une donnée personnelle traitée ? Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, adresse mail, n° d’identification, localisation, IP, adresse, données de santé, revenus, centres d’intérêts etc.).

Traitements de données : toutes les opérations portant sur les données personnelles informatisées ou non (collecte, utilisation, diffusion, conservation, consultation effacement etc.).

Accountability : elle est défini par la CNIL comme « l’obligation pour les entreprises de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». l’accountability est au coeur du RGPD.

Privacy by Design : Suivant une logique de responsabilisation, chaque acteur doit désormais s’assurer de la conformité des traitements qu’il envisage de mettre en oeuvre dès le moment de leur conception. Cela implique la mise en œuvre de mesures organisationnelles et techniques spécifiques et d’associer notamment le DPO (Délégués à la protection des données / Data Protection Officer) à chaque stade de conception d’un nouveau service.

Ressources utiles

Publicités

Matinale #Systonic le 14 octobre !

Matinale SystonicSystonic vous invite à participer à sa première matinale le Mercredi 14 Octobre 2015.

La matinée sera consacrée à vos besoins (protection des données, externalisation des Systèmes d’informations, noms de domaines…) , avec des experts à l’écoute  des entreprises dans une ambiance conviviale.Le nombre de place est limité, de manière à privilégier l’échange et répondre à chaque cas personnalisé.

Pour les informations et inscriptions, c’est par ici.

Nous, en tout cas, au Pôle Numérique, nous essaierons d’y être  🙂

Concours #Industrie #nautique et #protection #environnement : « Prix du Bateau Bleu 2015 » de la #FIN

concours prix bateau bleu Fédération des Industries navales

Concours de la la Fédération des industries nautiques « Prix du Bateau Bleu 2015 » de 20 000 € – Dépôt de dossier avant le 30 septembre 2015.

Pour cette onzième édition, la FIN propose un thème ouvert lié l’amélioration de la protection de l’environnement dans la plaisance, laissant ainsi aux candidats la possibilité de postuler sur l’ensemble des aspects environnementaux liés à l’utilisation des bateaux de plaisance.

Les projets pourront ainsi concerner l’ensemble des aspects liés à l’utilisation du bateau (énergie à bord, gestion de l’eau, gestion des déchets, systèmes de propulsion,…) dès lors qu’ils apportent une avancée technologique.

Peuvent concourir tous produits, équipements, systèmes ou solutions commercialisés ou en passe de l’être, ayant un caractère innovant et pertinent pour diminuer l’impact sur l’environnement.

LE JURY FONDERA SA DÉCISION SUR :

  1. La pertinence et l’aspect innovant du système, sa présentation, le chiffrage du gain environnemental, le coût d’achat, d’installation et d’utilisation du système, etc. Les projets peuvent concerner un ou plusieurs thèmes.
  2.  L’état d’avancement du projet et les délais prévisibles de commercialisation. Les projets les plus aboutis seront étudiés en priorité par le jury.

Le thème du prix est volontairement ouvert afin de laisser la possibilité à un grand nombre de projets de concourir. Le jury étudiera chaque projet dans sa globalité et le comparera avec les projets des autres candidats.

Les candidats (entreprises, grandes écoles, centres de recherche, particuliers…) sont invités à adresser leur dossier de candidature AVANT LE 30 SEPTEMBRE 2015, auprès de l’huissier de justice, Maître Alain Goulard, CAP SUD 2 – 15, rue Henri Lemarié – BP 47 – 35406 SAINT-MALO cedex.

 #Industrie #Nautique et #technologie : « Prix du Bateau Bleu 2025 » concours de la #FIN avant le 30 septembre http://t.co/CzTFfjtow5

Plus d’éléments sur le site de la Fédération des Industries Navales (FIN)

 

 

 

Protégez votre patrimoine immatériel : vos idées, marques et noms de domaine

Le Pôle Numérique organisait le 19 Mars 2015 à la CCI de Bordeaux une matinée sur la « Protection du patrimoine immatériel de l’entreprise » en partenariat avec la CNCPI IP SPHERE et KEEP ALERT / PRODOMAINES .

9h00 à 10h30 : « Comment protéger vos idées ? »

Petit Déjeuner organisé par la Compagnie Nationale des Conseils en Propriété Industrielle (CNCPI) et animé par Alexandra DIMAGGIO et Philippe RODHAIN, Conseils en propriété  industrielle.

Les Conseils en Propriété Industrielle, en qualité d’experts, sont au cœur de la problématique de la protection des droits de propriété intellectuelle. Ils conseillent et accompagnent les entreprises dans leur stratégie de protection, de valorisation et de défense de leurs brevets, marques et modèles, noms de domaine, droit d’auteur, en France et à l’international, grâce aux liens privilégiés qu’ils ont développés avec les réseaux de leurs confrères étrangers. C’est à ce titre que Alexandra Dimaggio et Philippe Rodhain , Conseils en Propriété Industrielle sont intervenus pour présenter les points essentiels : – Comment matérialiser son idée, – Obtenir un monopole, Valoriser et défendre les droits sur son idée….

10h30 à 12h00 : « Comment protéger vos marques sur internet face aux nouvelles extensions de nom de domaine ? »

Animé  par KEEP ALERT / PRODOMAINES et IP SPHERE – co organisé avec le Pôle numérique

Depuis 2014, il est possible de déposer des noms de domaine dans plus de 500 nouvelles extensions internet (NewgTLDs) correspondants à des territoires géographiques ou à des secteurs d’activités (.BOUTIQUE, .CLUB, .IMMO, .PARIS, .VIN…) . Ces territoires numériques vierges offrent de multiples possibilités d’écriture disponibles pour les adresses internet (ex : choisir.restaurant, legume.bio, location.immo…).

Ces nouvelles extensions internet constituent également un risque supplémentaire de cybersquatting, soit l’enregistrement par un tiers malintentionné d’un nom de domaine reprenant votre marque. Les personnes morales doivent s’approprier ce nouveaux contexte de nommage afin d’adapter une stratégie cohérente pour leur identité digitale, en toute sécurité !

A lire sur notre blog

 

Etes-vous prêt pour la nouvelle #réglementation européenne sur la #protection des #données ?

Savez-vous qu’une nouvelle loi se prépare à Bruxelles sur la protection des données par les entreprises ? Si vous répondez par la négative vous faites partie des 35% d’entreprises françaises qui n’ont pas connaissance de cette proposition de réglementation européenne  qui fait suite à la Directive Européenne 95/46/CE.

Trend Micro a commandité une étude auprès du cabinet d’analyses Vanson Bourne afin de mesurer la prise de conscience des entreprises européennes face à ce changement de loi annoncé d’ici la fin de l’année 2014. Plus de 850 responsables informatiques européens dont 100 français ont été interrogés. Les résultats sont assez préoccupants car parmi ceux qui en ont entendu parler seuls 45 % déclarent connaître parfaitement les étapes nécessaires pour se mettre en conformité.

Pour mémoire, en France la loi 78-17 du 6 janvier 1978, dite « Informatique et libertés » (dont la dernière modification date du 19 mars 2014), stipule que les entreprises sont responsables des données à caractère personnel recueillies et traitées et doivent en garantir la confidentialité. Le non-respect de cette obligation est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.

La nouvelle réglementation européenne qui doit se substituer aux lois nationales se veut encore plus stricte. On retiendra, notamment :

  • L’encadrement plus étroit du transfert de données à des pays tiers.
  • La facilitation de l’exercice du droit à l’effacement des données personnelles.
  • La mise en place d’une procédure de demande de consentement explicite pour le traitement de ces données.
  • Les amendes prévues seront alourdies et iront jusqu’à 100 millions d’euros ou 5% de leur chiffre d’affaires.
  • Les entreprises victimes de fuites de données seront tenues de le notifier auprès des autorités compétentes et des clients dont les données personnelles ont été détournées.

Trend Micro a mis en place un site Web dédié sur lequel on peut télécharger l’intégralité de l’étude ainsi qu’une infographie qui synthétise les résultats .
INFOGRAPHIE: Réglementation européene sur la protection des données

La mise en œuvre  de cette directive sera un des points abordés lors de l’atelier du Pôle Numérique du 10 octobre prochain sur la « Sécurisation des échanges sur internet du e-commerce au m-commerce ».

Retour sur l’atelier « Protégez vos #marques sur #Internet et profitez des nouvelles #extensions de #domaines »

La matinée du 10 juin 2014 a été consacrée à la protection des marques tant dans le cadre d’une stratégie de développement à l’export (organisé à l’occasion du Tour de France du CNCPI) que sur Internet à l’occasion du Big Bang des 1400 nouvelles extensions de noms de domaines (gTLDs) disponibles progressivement depuis fin 2013.

vers le point aquitaine en 2015

Le Pôle Numérique de la CCI de Bordeaux a organisé un atelier pour rappeler les bonnes pratiques en matière de protection et dépôt de marques et évaluer tant les risques que les opportunités des nouvelles extensions (gTLDs) sur Internet avec ses partenaires : l’antenne régionale de l’INPI, le Cabinet en Propriété Industrielle IP SPHERE et PRODOMAINES / KEEPALERT prestataire référent en matière de gestion de noms de domaines et surveillance de marques sur Internet.

Lire aussi

Livre blanc #KeepAlert sur le #cybersquatting de noms de domaine en 2013

Drapeau pirate

La société girondine KeepAlert vient de publier courant mai 2014 un livre blanc consacré aux visages du cybersquatting(*) de noms de domaine en 2013 après avoir étudié un échantillon de 4.000 décisions extrajudiciaires rendues durant cette année.

L’étude montre que décisions extrajudiciaires se traduisent par une issue favorable aux requérants dans près de 90% des cas ce qui montrent l’importance pour les marques d’utiliser intelligemment les procédures pour obtenir le transfert des noms de domaine litigieux.

> Source et téléchargement du document en suivant le lien

D’ici fin 2014, 1400 nouvelles extension de noms de domaines vont s’ajouter aux .com, .net, .fr … que nous utilisons tous les jours. Couvrant de nombreux domaines : voyage (.voyage, .hotel, .restaurant, .travel, …), commerce (.boutique, .shop, .spa …),  géographiques (.aquitaine, .bzh, …), alimentation (.wine, .vin, .cafe, .pizza, …), services, technologie (.web, .online, …), éducation, affaires, sports …

Le big bang a déjà commencé. Comment protéger votre identité, vos marques et votre raison sociale sur Internet ? Quels plans d’action mettre en place pour défendre vos intérêts ? Quelle stratégie de dépôts de noms de domaines déployer pour anticiper les opportunités et conquérir de nouveaux territoires sur Internet ?

> Rendez-vous le 10 juin 2014 de 10H30-12H30 pour un atelier animé par le  Pôle Numérique de la CCI Bordeaux avec KeepAlert et un Cabinet de Propriété Industrielle. Le nombre de places est limité.
> Inscrivez-vous vite en suivant ce lien

(*) Le cybersquatting est l’enregistrement abusif et / ou spéculatif d’un nom de domaine correspondant à un droit antérieur.

Crédit photo shoehorn99