+33 (0)3 76 05 50 51

Contactez-nous

Connexion |

INSCRIPTION
f

Signature numérique

Envoyez en toute simplicité vos documents à faire signer électroniquement

Publipostage

Réalisez vos envois simplement à partir de l’outil de publipostage. Un document source Word, Excel, Csv et c’est parti !

Envoi en masse

Envoyer des documents à plus de 1000, destinataires ? C’est possible et en un clic

Cachet d'entreprise

Besoin de co-signer les documents à envoyer ? Optez pour la simplicité avec le cachet d’entreprise

Carnet d'adresses

Pourquoi toujours resaissir les coordonnées quand on peut les mettre dans son carnet d’adresses ?

API

Intégrez les solutions Plug&Sign au coeur de votre informatique à l’aide des API

TOUS LES PRODUITS

  1. Accueil
  2. /
  3. Juridique
  4. /
  5. Assurer la confidentialité des données grâce...
Retour aux actualités

Juridique

Assurer la confidentialité des données grâce à la RGPD

Par Valentin Edmond

27 mars 2023
Assurer la confidentialité des données grâce à la RGPD

La Règlementation Générale sur la Protection des Données (RGPD) est une réglementation européenne instaurée en 2018 pour corroborer la protection de la vie privée des citoyens de l’Union européenne (UE) et pour uniformiser les règles de protection des données au sein de l’Union. Celle-ci a un impact notable sur la manière dont les entreprises et les organisations traitent et utilisent les données personnelles de leurs clients et employés. En effet, la RGPD impose des obligations strictes en matière de traitement des données personnelles et des sanctions sévères en cas de non-respect de celles-ci. Dans cet article, nous allons explorer les principaux aspects de la RGPD et ses implications pour les entreprises et les organisations qui collectent et traitent des données personnelles.

Quels types d’informations sont sous l’égide des lois sur la confidentialité des données ?

Une donnée personnelle est une information qui se rapporte à une personne physique identifiée ou identifiable. Cette personne pourra être identifiée directement ou indirectement à partir d’une ou d’un ensemble de données.

A savoir que la vie privée doit être aussi respectée sur le lieu de travail. Cela signifie que la confidentialité de votre correspondance et de vos communications privées en ligne en font partie. Si l’employeur souhaite surveiller un collaborateur, il devra l’en informer au préalable.

D’un point de vue confidentialité des données, quels sont les droits des individus ?

La RGPD a été créée afin de s’assurer que les entreprises et les organisations traitent et utilisent les informations personnelles de manière responsable et ainsi éviter que ces informations ne tombent entre de mauvaises mains. Celle-ci a pour but de protéger votre vie privée et vos données personnelles.

Les personnes auxquelles les données sont collectées disposent de plusieurs droits. Elles ont l’autorisation de les exercer auprès du responsable de traitement. Les nom et adresse de celui-ci devront figurer sur les sites visités ainsi que dans les contrats conclus. Elles peuvent également démarrer une action de groupe devant les tribunaux.

Globalement, on retrouve plusieurs droits associés aux individus :

Droit d’accès

Les personnes dont les informations sont collectées et traitées peuvent demander d’accéder aux données les concernant à tout moment et sans limitation.

Comment l’exercer ?

Vous pouvez effectuer votre demande de droit d’accès par plusieurs moyens : voie électronique (formulaire, adresse mail, bouton de téléchargement) ou courrier.

Droit de rectification et d’opposition

Les individus peuvent demander la rectification des données conservées. Ils ont la possibilité de s’opposer également à cette conservation des données.

Comment l’exercer ?

Vous pouvez effectuer votre demande de droit d’accès par plusieurs moyens : voie électronique (formulaire, adresse mail, compte en ligne) ou courrier.

Droit à la portabilité

Toute personne peut récupérer, sous une forme réutilisable, les données qu’elle a transmis, et les transférer par la suite à un tiers

Comment l’exercer ?

Le droit à la portabilité permet à toute personne de récupérer, sous une forme réutilisable, les données qu’elle a transmises, et de les transférer par la suite à un tiers. Pour l’exercer, il est possible de le faire par voie électronique (formulaire, adresse mail, compte en ligne) ou par courrier.

Droit à l’oubli

Tout individu a droit à la destruction de ses données et au dé-référencement

Comment l’exercer ?

Pour exercer ce droit, la personne concernée doit contacter le moteur de recherche ou l’organisme (via le formulaire se trouvant sur le site web du responsable de traitement ou par courrier). La demande doit indiquer avec précision les données concernées et contenir un exposé des motifs.

Droit à notification

En cas de violation de la sécurité des données induisant un risque pour les personnes, le responsable du traitement doit les prévenir rapidement, sauf dans certaines situations. Il doit aussi le notifier à la CNIL dans les 72 heures qui suivent.

Droit à réparation du dommage matériel ou moral

Toute personne victime d’un dommage (matériel ou moral) en lien avec la violation du règlement européen peut obtenir du responsable de traitement (ou du sous-traitant) la réparation de son préjudice. Tel est le cas d’une personne où le problème de santé aurait été dévoilé.

Action de groupe

Toute personne peut demander à une association ou un organisme qui travaille dans la protection des données d’aider à faire une plainte ou une action en justice pour obtenir des dommages et intérêts en cas de violation de ses données. Cette action de groupe est liée au droit à réparation du dommage matériel ou moral.

Protéger la confidentialité des données sur le lieu de travail

Il est important de sensibiliser et former ses collaborateurs à la sécurité informatique, notamment en matière de phishing. Le phishing est une technique d’ingénierie sociale qui consiste à duper les utilisateurs en leur faisant croire qu’ils communiquent avec une entreprise ou une organisation de confiance, alors qu’en réalité, ils sont en train de fournir leurs informations personnelles à des hackers. Les employés doivent apprendre à reconnaître les tentatives de phishing et à ne jamais fournir leurs informations personnelles à des tiers non autorisés. En sensibilisant et en formant les collaborateurs, les entreprises peuvent réduire le risque de violation de la confidentialité des données et protéger leurs informations sensibles.

Comment y procéder ?

  • sensibilisation autour des droits des personnes concernées pour que les demandes reçues dans n’importe quel service client soient identifiées très facilement et qu’une procédure de traitement effectuée par le bon service soit connue et appliquée.
  • sensibilisation élargie sur les règles internes de gestion des données personnelles (on ne peut accéder uniquement aux données que l’on a besoin, il est interdit de divulguer des données à des tiers non autorisés, les dossiers archivés ne sont accessibles qu’à certaines personnes, il faut sauvegarder régulièrement ses fichiers
  • sensibilisation aux règles élémentaires de sécurité

Risques de violation de la confidentialité des données

La violation de données personnelles, appelées également dans le langage courant “faille de sécurité”, est définie dans la Réglementation Générale sur la Protection des Données (RGPD) comme une violation de la sécurité entraînant de façon accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière.

On retrouve trois typologies qui ressortent :

  • la violation de la confidentialité : divulgation ou l’accès est non autorisé ou accidentel à des données à caractère personnel
  • la violation de l’intégrité : altération non autorisée ou accidentelle de données à caractère personnel
  • la disponibilité : destruction ou perte accidentelle, non autorisée de données personnelles

Les grandes catégories de violation sont légions :

  • les failles de sécurité ou les vulnérabilités
  • les violations consécutives à des actes de cyber-attaques tels que le ransomware
  • les actions humaines
  • les cas fortuits

Quelles sont les obligations de l’entreprise lorsqu’une violation de données se produit ? Vers qui doit-elle se tourner et dans quel délai ?

Il existe plusieurs niveaux de violation : les violations de données n’entraînant aucun risque, celles qui engendrent un risque et celles qui entraînent un risque élevé pour les droits des personnes.

Quand une violation des données se produit, il faut, tout d’abord, décider de mesures techniques afin de mitiger le risque et limiter les dommages : mettre en place des mesures de chiffrement, bloquer des accès, supprimer des données …

Par la suite, il faudra passer le message. Il est recommandé, dans des cas particuliers, de déposer une plainte auprès de la cellule cybersécurité de la police.

Comment anticiper au mieux la violation ?

On peut retrouver diverses solutions :

  • firewalls, antivirus, chiffrement à activer sur chaque ordinateur des salariés
  • procédures de cryptage devant être respectées
  • différents niveaux d’accès des salariés à certaines informations

Attention à toujours avoir des solutions de sauvegarde disponibles sur les différents serveurs en backup ainsi que des sauvegardes en dehors du réseau afin de pouvoir récupérer ses données en cas d’altération voire de destruction.

Il faudra notamment apprécier le risque lié à la violation en prenant en compte les obligations de l’entreprise vis-à-vis de la RGPD :

  • documenter la violation au sein d’un registre interne
  • notifier la CNIL dans un délai maximal de 72 heures
  • informer les personnes concernées dans les meilleurs délais, sauf exception

Le responsable de traitement évaluera le risque selon 3 grades :

  • absence de risque
  • présence d’un risque
  • présence d’un risque élevé

Quand notifier la violation ?

Elle peut s’effectuer en 2 temps :

  • une première notification dans un délai de 72 heures max
  • une notification complémentaire

Quel que soit le risque, le responsable de traitement a toujours l’obligation à minima de documenter cette violation et être en mesure de livrer cette documentation à la CNIL en cas de contrôle.

Celle-ci doit répertorier la nature de la violation des données, ses effets et les actions prises par l’entreprise pour la corriger. Les mentions transmises à la CNIL lors de sa notification pourront être éventuellement reprises dans cette documentation.

La documentation s’inscrit elle aussi dans la lignée de l’obligation responsabilité de la RGPD. Ce registre des violations des données pourra être réclamé par la CNIL en cas de contrôle.

Contacter nous

Vous apprécierez aussi

Cookies
Avec votre accord, nous utilisons des cookies ou technologies équivalentes pour offrir la meilleure expérience de navigation possible. Vous pouvez retirer votre consentement en cliquant sur "Paramètres". Lire notre politique de cookies
Paramètres Tout refuser Tout accepter
Cookies
Choisissez le type de cookies ou technologies équivalentes que vous acceptez. Lire notre politique de cookies
Enregistrer Tout refuser Tout accepter