RGPD : notre rôle dans la protection des données personnelles

La nouvelle réglementation concernant la protection des données des habitants des pays membres de l’UE entrera en vigueur le 25 mai prochain. Le compte à rebours est lancé et chez Synolia nous prenons très au sérieux cette nouvelle réglementation et les impacts qu’elle a à la fois sur les activités réalisées pour notre compte et celles réalisées pour le compte de nos clients. En effet, en tant que « sous-traitant » nous sommes doublement concernés par le RGPD.

Ainsi nous souhaitions partager avec vous la manière dont nous abordons ce sujet chez Synolia.

Dans le cadre du RGDP, Synolia endosse deux rôles obligatoires, ainsi qu’un rôle complémentaire :

• « Responsable du traitement » : il s’agit ici des données personnelles que nous collectons et traitons dans le cadre de notre activité : employés, partenaires, prospects, clients, etc. A ce titre, nous avons les mêmes obligations de conformité que n’importe quelle entreprise qui collecte et traite des données personnelles.
• « Sous-traitant » : il s’agit des données personnelles que nos clients collectent et sur lesquelles nous réalisons des traitements pour leur compte.
• Synolia apporte également son conseil à ses clients dans le cadre leur mise en conformité avec le RGPD. Il s’agit d’un rôle complémentaire (non obligatoire) afin d’accompagner nos clients dans l’application de leur plan d’actions pour les solutions que nous déployons.

Les dispositions que nous mettons en place en tant que « sous-traitant »

En tant que « sous-traitant » – Synolia traite des données personnelles pour le compte de ses clients – nous devons respecter plusieurs obligations dans le cadre des prestations de service pour lesquelles nous sommes missionnés. Nous nous engageons notamment à :

• Nommer un Délégué à la Protection des Données (DPD ou DPO en anglais)
• Garantir que l’ensemble des collaborateurs ayant accès et traitant les données personnelles qui nous sont transmises soient formés à la gestion de ces données et soient tenus d’en garantir la confidentialité et la sécurité.
• Etudier avec nos clients, dès la conception de leur application, la prise en compte de la protection des données personnelles manipulées.
• Limiter la manipulation et la conservation des données personnelles qui nous sont transmises au cadre des prestations commandées.
• Cartographier les actions entreprises, dans le cadre de nos missions, sur la manipulation des données personnelles confiées par nos clients afin d’en limiter l’accès aux seuls opérateurs des traitements.
• De plus, pour les clients que nous hébergeons, nous nous engageons à leur communiquer dans les plus brefs délais toute détection d’accès malveillant. Ils pourront ainsi déclencher leur plan d’actions associé en tant que responsables du traitement.

Mise en conformité au RGPD : l’accompagnement que nous proposons à nos clients

Synolia accompagne également ses clients, lors de l’implémentation de leurs processus associés, à leur mise en conformité au RGPD dans les applications que nous déployons pour eux.

Voici quelques exemples de processus pour lesquels nous accompagnons nos clients :

• Cartographier les traitements autour des données personnelles manipulées
• Historiser et tracer les demandes des clients finaux par rapport aux exigences RGPD (date d’obtention du consentement, exercice des droits, etc.)
• Générer des rapports comprenant l’ensemble des données personnelles relatives à une personne
• Evaluer comment appliquer les divers points de la réglementation dans les applications déployées tels que la suppression des données, l’application du droit à l’oubli, etc.

Nous traitons des données personnelles, nous devons nous aussi assurer notre conformité au RGPD

Dans le cadre de nos activités, nous collectons et traitons des données personnelles. Ainsi, nous sommes en cours de réalisation de la cartographie de nos traitements et d’une étude d’impact relative à la protection des données perrsonnelles. Cette analyse est menée par une équipe dédiée et sous la direction de notre Délégué à la Protection des Données.

Nous nous engageons par ailleurs à :

• La mise en place et le respect de l’ensemble des mesures relatives à la sécurité et à la confidentialité requises par le RGPD.
• Dans le cas où nous devions transférer des données à l’extérieure de l’UE, à respecter les procédures requises par le RGPD.
• Effectuer les notifications nécessaires en cas de violation des données personnelles.

Quelques rappels sur la RGPD

Qu’est ce que le RGPD ?

La Réglementation Générale sur la Protection des Données (ou GDPR en anglais) est une réglementation européenne qui vise à uniformiser et à encadrer la collecte et l’utilisation des données dites à caractère personnel concernant les ressortissants vivants de l’UE. Cette réglementation a été adoptée en 2016 et les entreprises traitant ce type de données doivent être en conformité avec celle-ci au plus tard le 25 mai 2018.

Qu’est ce qu’une donnée à caractère personnel?

Les données concernées par cette réglementation sont les données dites à caractère personnel, c’est-à-dire toutes les données permettant d’identifier directement ou indirectement une personne physique (un nom, un prénom, un numéro de téléphone, mais aussi une adresse IP, un lieu ou une date de naissance, un numéro de sécurité sociale, etc.).
Une attention particulière devra être portée autour de la récolte et du traitement de données personnelles concernant la santé ou les mineurs.

Quels sont les risques d’une non-mise en conformité ?

Les risques encourus en cas de non-respect de la réglementation peuvent être de différents niveaux en fonction du degré d’infraction :

• Un avertissement / mise en demeure de l’entreprise de satisfaire les demandes d’exercice des droits des personnes (la rectification, limitation, effacement des données, etc.)
• Une limitation temporaire ou définitive d’un traitement ou la suspension des flux de données.
• Une amende allant jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise (le montant le plus élevé des deux possibilités sera retenu).