Conformité au RGPD : Comment le logiciel Boréalis peut vous aider

Pour une entreprise, la capacité de recueillir et d’analyser les informations à caractère personnel des clients est généralement une bonne chose. Mais à ces précieuses informations s’ajoute la responsabilité de se conformer à des lois et à des règlements bien précis.

Le Règlement général sur la protection des données (RGPD) a été adopté afin que toutes les organisations qui recueillent et enregistrent des données à caractère personnel protègent celles-ci contre la perte, le vol et l’utilisation abusive. Tout manquement à ce règlement peut coûter très cher.

Sans les outils et les connaissances requises, tenter de se conformer à une réglementation aussi restrictive que punitive peut être carrément effrayant. Nous voulons donc vous faire part ici de certains des aspects les plus importants du RGPD – et des façons dont le logiciel Boréalis peut vous aider à vous y conformer

Dans cet article (temps de lecture: 15 minutes) :

Qu'est-ce que le RGPD ?

Le Règlement général sur la protection des données est un cadre juridique définissant les règles relatives à la collecte et au traitement des informations à caractère personnel des citoyens de l’UE. Le RGPD s’est fixé deux grands objectifs :

  1. Donner aux citoyens de l’UE un plus grand contrôle sur leurs données personnelles.
  2. Uniformiser le cadre réglementaire afin que tant les entreprises que les consommateurs puissent bénéficier de l’économie numérique.

Comment le RGPD protège-t-il les données?

Le RGPD permet de protéger les données de différentes façons.

D’abord, il exige des entreprises qu’elles incorporent à leurs produits et services des mesures de protection des données dès le début du développement de ceux-ci; c’est ce qu’on appelle la «protection des données dès la conception» (data protection by design). Ce principe directeur s’applique également à tout service qui nécessite de traiter des données à caractère personnel – incluant celles de parties prenantes.

On encourage également les organisations à adopter des techniques pour assurer encore mieux la confidentialité des données. Une des techniques fréquemment utilisées est la pseudonymisation, qui consiste à prendre les données à caractère personnel et à en supprimer l’information permettant d’identifier la personne, puis de remplacer cette information par un identifiant ou un pseudonyme artificiel. Dès lors, impossible de savoir à qui l’information appartient, devrait-elle tomber entre de mauvaises mains.

Comment le logiciel Boréalis peut vous aider à vous conformer au principe de « protection des données dès la conception » :

  • Contrairement aux fichiers Excel, qui sont l’une des façons les moins sûres de gérer les données sensibles (voir pourquoi vous ne devez plus utiliser des feuilles de calcul pour gérer les parties prenantes), les fonctionnalités du logiciel Boréalis permettent de restreindre l’accès aux données et de les isoler afin d’en assurer la sécurité, l’intégrité et la confidentialité.
  • Le complément Outlook de Boréalis utilise des mécanismes avancés de cryptage des données pour sécuriser les informations envoyées par courrier électronique.
  • Durant l’implémentation de projet, notre équipe vous aidera à déterminer le niveau d’accès minimal requis, et à ajouter, au besoin, des niveaux de sécurité plus élevés.
  • Une fois que votre plateforme Boréalis est opérationnelle, notre système en surveille continuellement l’utilisation pour détecter toute activité inhabituelle : multiples tentatives d’ouverture de session infructueuses, exportation de grandes quantités de données, etc. Selon la situation, le système bloquera automatiquement l’accès à l’utilisateur en question ou avisera notre équipe de surveillance, laquelle contactera la personne que vous aurez désignée afin que soient prises les mesures appropriées.

Voyez les autres façons dont le logiciel Boréalis assure la sécurité des données – autant celles de votre entreprise que de vos parties prenantes.

Quelles organisations sont tenues de se conformer au RGPD ?

Le RGPD vise toutes les organisations opérant au sein de l’UE, ainsi que toutes celles de l’extérieur qui offrent des biens ou des services à des clients ou à des entreprises établis dans l’UE.

Peu importe sa taille, son secteur d’activité ou son type d’activité, une entreprise qui recueille des renseignements personnels auprès de clients de l’UE doit se conformer au RGPD.

Plus simplement, toute entreprise qui vend des produits ou des services en ligne est assujettie au RGPD, puisque n’importe lesquels de ses clients pourraient provenir de l’UE. Ces règles et réglementations s’appliquent aussi bien aux activités d’un individu en affaires qu’aux entreprises du Fortune 500.

Quelles informations à caractère personnel les organisations ont-elles le droit de recueillir ?

En vertu du principe de « limitation de la finalité »’ du RGPD, les entreprises doivent avoir une raison valable pour traiter les données à caractère personnel d’un individu, et seules les informations pertinentes à ladite raison peuvent être recueillies.

Voici un exemple :
S’il vous incombe de relocaliser une communauté dans le cadre d’un projet financé par la Société financière internationale (IFC), vous devez respecter certaines normes, comme de recenser les ménages vulnérables afin d’assurer la continuité de leurs moyens de subsistance. Sachant que cette vulnérabilité dépend de facteurs tels que l’âge, le sexe, les handicaps, etc., il est justifié de demander ce type de renseignement personnel lors d’enquêtes auprès des ménages. Par contre, et toujours dans une optique de conformité, il ne serait pas justifié de les interroger sur leurs croyances religieuses ou politiques, ou sur leur orientation sexuelle.

Le RGPD présente un certain nombre de règles. Par exemple, les entreprises doivent :

  1. Traiter les données à caractère personnel de manière légale, transparente et non abusive.
  2. Avoir une raison valable pour traiter ces données et expliquer clairement cette raison aux personnes au moment de recueillir leurs données personnelles.
  3. Recueillir et traiter uniquement les données personnelles nécessaires à cette fin.
  4. Veiller à ce que les données personnelles recueillies soient exactes et à jour afin qu’elles puissent continuer de servir cet objectif.
  5. Utiliser les données personnelles strictement aux fins de l’objectif établi au départ.
  6. Conserver les données personnelles seulement aussi longtemps qu’il ne faut pour qu’elles remplissent la fonction à laquelle elles sont destinées.
  7. Mettre en place les mesures techniques et organisationnelles nécessaires pour protéger les données personnelles contre toute utilisation non autorisée, perte, atteinte ou destruction.

Le respect de ces règles et des autres principes du RGPD exige le plus souvent d’utiliser les outils logiciels appropriés.

Comment le logiciel Boréalis peut vous aider à vous conformer au principe de limitation de la finalité du RGPD : 

Bien que le logiciel Boréalis puisse enregistrer tous les types de données, notre équipe peut vous aider à configurer le système de manière à ce qu’il ne recueille que les données nécessaires. Le choix des données exactes à enregistrer vous appartient, et nous pouvons vous aider à modifier cette configuration au fur et à mesure qu’évoluent les règles énoncées ci-dessus, et les besoins de votre organisation.

Quelle information les organisations doivent-elles fournir aux personnes dont elles recueillent les données ?

Au moment de recueillir les données personnelles d’un individu, une organisation est tenue de lui fournir les informations suivantes :

  • Le nom et les coordonnées de l’organisation, ainsi que celles de son délégué à la protection des données (DPD), si elle en a un.
  • La raison pour laquelle elle recueille ces données personnelles.
  • Les types de données personnelles recueillies.
  • La justification légale pour le traitement de ces données.
  • Combien de temps elle conservera ces données.
  • Qui d’autre pourrait y avoir accès.
  • Si ces données seront transmises en dehors de l’UE.

L’organisation doit également informer la personne à ce moment qu’elle a le droit de :

  • Demander une copie des données recueillies à son sujet(droit d’accès aux données à caractère personnel), ainsi que des informations sur ses autres droits fondamentaux.
  • Déposer une plainte auprès d’une autorité de protection des données (DPA).
  • Révoquer son consentement à tout moment.

Consulter la liste complète des informations que doivent fournir les organisations lorsqu’elles recueillent des données personnelles.

Comment doit-on traiter les demandes des particuliers ?

Le RGPD stipule que les personnes ont le droit de demander l’accès aux données personnelles qu’une entreprise a recueillies à leur sujet. Ils ont également le droit de demander que ces données soient corrigées, effacées ou limitées. Les individus peuvent également s’opposer à toute collecte de ces informations, leur traitement ne fasse pas l’objet d’une prise de décision automatisée.

En vertu du RGPD, si une partie prenante communique avec vous pour s’enquérir de la façon dont votre organisation traite ses données personnelles, la demande doit être traitée comme suit :

  • Vous devez répondre à la demande dans les meilleurs délais, et au plus tard un mois après réception.
  • Vous pouvez également demander à la partie prenante des renseignements supplémentaires, mais seulement afin de confirmer son identité.

Dans certains cas, vous pouvez rejeter la demande. Si vous avez des motifs légitimes de rejeter la demande d’une partie prenante, vous devez lui expliquer les raisons de ce rejet et l’informer de son droit de déposer une plainte auprès de la DPA et d’obtenir un recours judiciaire.

Comment le logiciel Boréalis facilite le traitement des demandes des particuliers

Étant donné que le logiciel Boréalis centralise l’ensemble des données sur les parties prenantes, chacun de leurs dossiers contient l’ensemble des informations au sujet d’un particulier. Si une partie prenante vous demande une copie de toutes les données personnelles que vous avez recueillies à son sujet, vous n’aurez pas à fouiller à gauche et à droite pour les rassembler. Tout est enregistré au même endroit dans Boréalis. En un simple clic, toute personne détenant des droits d’accès peut exporter un fichier PDF sous format lisible et contenant l’ensemble des données d’une partie prenante.

Et si une partie prenante désire que ses renseignements personnels soient corrigés, limités (cachés) ou supprimés, il est tout aussi facile de le faire. Dans Boréalis, on n’a à exécuter cette opération qu’une seule fois pour que les modifications soient appliquées partout dans l’organisation. Vous pouvez également ajouter au dossier de la partie prenante toutes les informations relatives au consentement qui lui ont été présentées. Ainsi, elles vous seront  immédiatement accessibles en cas d’audit.

Grâce à la communauté de pratique mondiale du logiciel Boréalis, notre équipe peut vous conseiller sur les meilleures pratiques à cet égard, et plus largement. 

Combien de temps les organisations peuvent-elles conserver les données, et doivent-elles les mettre à jour?

Pour être conformes au RGPD, les données ne doivent pas être conservées plus longtemps que nécessaire. La durée exacte varie en fonction des raisons pour lesquelles les données sont traitées et des autres obligations juridiques auxquelles votre entreprise pourrait être soumise, notamment en vertu de lois nationales spécifiques en matière de travail, de fiscalité ou de prévention de la fraude. Ces lois régissent la manière dont les données à caractère personnel sont utilisées pour bien gérer les employés, les garanties de produits, etc.

 

Dans le cas où certaines données personnelles sont archivées à des fins qui servent l’intérêt public ou dans le cadre de recherches scientifiques ou historiques, il est justifié de les conserver plus longtemps.

Que les données soient conservées pendant 15 minutes ou 150 ans, les entreprises sont tenues de mettre en place les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, le cryptage, etc.

Les entreprises doivent fixer un calendrier précis pour la vérification, la mise à jour et l’effacement des données enregistrées.

Comment le logiciel Boréalis peut vous aider à vous conformer au RGPD:

Le logiciel Boréalis peut vous avertir lorsqu’une partie prenante est inactive depuis trop longtemps (par exemple, depuis plus de deux ans) et doit être retirée de vos dossiers. La durée d’inactivité requise peut être fixée par le client. D’autres notifications ou opérations similaires peuvent être configurées avec le client au moment de l’intégration du logiciel à son environnement.

Que doivent faire les organisations en cas de violation de données ?

Une violation de données, c’est tout incident de sécurité pouvant compromettre la confidentialité, la disponibilité ou l’intégrité des données.

En vertu du RGPD, les organisations sont responsables de mettre en œuvre les mesures techniques et organisationnelles appropriées pour réduire le risque de violation de données.

S’il se produit une violation de données susceptible de mettre en péril les droits et libertés d’une personne, l’organisation doit en aviser sans délai les autorités compétentes, au plus tard 72 heures après avoir pris connaissance de la violation.

Si la violation expose les droits et libertés d’une personne à un risque élevé, l’organisation doit prendre les mesures nécessaires pour en informer cette personne, à moins que des mesures additionnelles n’aient déjà été prises pour s’assurer que le risque ne soit plus susceptible de se concrétiser.

Comment le logiciel Boréalis peut vous aider à prévenir les violations de données :

Les violations de données sont de véritables cauchemars logistiques, et leurs répercussions sur les finances et la réputation d’une entreprise sont potentiellement désastreuses. Boréalis réduit le risque de piratage et de violation de données grâce à des outils de surveillance 24h/24 et 7j/7, au cryptage des données, aux et à d’autres tests de vulnérabilité.

En cas de violation de données ou de tout autre incident de sécurité, nous avons instauré un protocole pour intervenir rapidement. Dans le cadre de ce protocole, notre équipe avisera la personne-ressource désignée de l’organisation qui, à son tour, pourra communiquer avec les parties prenantes concernées en utilisant la fonctionnalité de Communications intelligentes de Boréalis.

Apprenez-en davantage sur les façons dont Borealis assure la sécurité des données >

Toutes les organisations ont-elles besoin d'une stratégie de conformité au RGPD ?

Toute organisation qui recueille des données auprès de citoyens européens doit avoir une stratégie relative au RGPD. Et même les organisations basées à l’extérieur de l’UE peuvent en bénéficier. Toutefois, pour mettre sur pied une stratégie adéquate, il est important d’établir d’abord si votre organisation, au regard du RGPD, est un « processeur de données » ou un « contrôleur de données » :

  • Un contrôleur est une « personne, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres personnes, décide des objectifs et des moyens du traitement des données à caractère personnel. »
  • Un processeur est une « personne, autorité publique, agence ou autre organisme qui traite les données à caractère personnel au nom du contrôleur ».

Exemple :

La protection des données personnelles incombe en grande partie aux contrôleurs, qui sont légalement obligés de tenir des registres des données personnelles et de la façon dont elles sont traitées. Les contrôleurs doivent également s’assurer que tous les contrats avec leurs processeurs sont conformes au RGPD. En cas de violation des données, les contrôleurs encourent un niveau élevé de responsabilité juridique.

Gardez à l’esprit que toute amende sera donnée au contrôleur, et non au processeur. Cela montre bien l’importance de choisir le bon fournisseur lorsqu’on souhaite mettre en place un système de gestion des informations des parties prenantes. Depuis 20 ans, Boréalis soutient les organisations du monde entier dans leurs efforts pour répondre aux exigences de conformité, tant celles du RGPD que de l’IFC, de l’ICMM, de l’IPIECA et de l’ISO 26000. Nous veillons à ce que notre système soit à jour en ce qui a trait aux lois sur la confidentialité des données – ce qu’un nouveau fournisseur risque de ne pas pouvoir faire.

Comment les organisations peuvent-elles démontrer leur conformité au RGPD ?

La réglementation du RGPD exige non seulement que les organisations se conforment à ses principes de protection des données, mais aussi qu’elles démontrent leur conformité. Le RGPD propose à cette fin un ensemble d’outils utiles, dont certains sont obligatoires.

Dans certains cas, les organisations sont tenues d’avoir un délégué à la protection des données ou d’effectuer des évaluations d’impact sur la protection des données (DPIA).

Les organisations peuvent aussi utiliser d’autres outils, comme des codes de conduite et des mécanismes de certification pour démontrer leur conformité. Bien que facultatifs, ces outils peuvent être utiles si votre organisation fait l’objet d’une enquête pour violation du RGPD.

Voyez comment le logiciel Boréalis peut vous aider à assurer la conformité au RGPD :

Traçabilité et audit

Les pistes d’audit enregistrées dans Boréalis permettent aux clients de démontrer quel utilisateur a accédé à quels documents.

Simplifier la conformité au RGPD à l’aide de Boréalis

Aussi complexe que le RGPD puisse sembler, il n’est en fait que la synthèse de principes éprouvés de sécurité des données.

Pour les organisations qui ont déjà mis en place des mesures de bonne gouvernance, la mise en conformité ne sera qu’une autre de leurs meilleures pratiques, et le processus sera relativement simple.   Pour d’autres, il sera probablement nécessaire de mettre en œuvre des politiques, des procédures et des outils supplémentaires afin de protéger adéquatement les données.

Dans tous les cas, le fait d’avoir à votre disposition un système spécialement conçu pour gérer les données des parties prenantes permet bien plus que de simplement faciliter la conformité au RGPD. C’est l’efficacité au quotidien de votre gestion des parties prenantes qui s’en trouvera améliorée.

Vous aimeriez connaître toutes les façons dont le logiciel Boréalis peut être utile à votre entreprise ? Parlez-en à notre équipe.

Source: : https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organizations_en

François Robichaud

François Robichaud

François compte 10 années d’expérience à implémenter des solutions sociales et environnementales complexes sur de grands projets d’infrastructure internationaux. Il s’est joint à Boréalis en 2009, où il a contribué au succès de projets à travers le monde. François a de l’expérience en engagement avec les parties prenantes, investissement social, gestion des plaintes, réinstallation et restauration du mode de vie, étude d’impact et biodiversité. À l’extérieur du travail, François est passionné par les volcans, la séismologie et pratique même certains sports extrêmes de temps à autre.
Lire plus de cet(te) auteur(e)

Commencez dès aujourd'hui avec la solution logiciel de gestion des parties prenantes Boréalis!

Demander une démo
Français
fr

© 2023 - Boréalis / Tous droits réservés.