Depuis le 25 mai 2018, de nouvelles règles en matière de protection des données personnelles* sont entrées en application au sein de l’Union Européenne (UE).
- Renforcer les droits de chaque individu sur leurs données personnelles
- Définir un ensemble de règles uniformes
- Responsabiliser davantage les entreprises
Alors que la directive européenne de 1995 reposait sur une logique déclarative, le RGPD répond à une logique de conformité dont la responsabilité incombe au « responsable des traitements ». Les sanctions encourues en cas de non-respect sont particulièrement lourdes car elles pourront s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial.
Le rôle de la DSI
La DSMI à la responsabilité d’assurer la sécurité des données personnelles propres à Thales Services Numériques, telles que les données RH contenues dans les outils développés en interne par exemple. A ce titre, il nous revient au préalable de réaliser les actions suivantes :
- Identifier l’ensemble des flux des données personnelles, pour déterminer les opérations à risque et celles qui ne le sont pas ;
- Vérifier auprès des responsables de ces flux leur pertinence : sont-ils indispensables au bon fonctionnement de l’entreprise ?
- Produire une cartographie complète de la donnée, afin de définir les enjeux et les risques propres à l’entreprise.
Si vous développez ou gérez des outils qui contiennent des données personnelles* (type mycv, mystaffing...), il est donc important de se rapprocher de la DSMI afin de vérifier la conformité avec le RGPD.
Identifier les risques liés à la sécurité
|
|
Ils sont de plusieurs natures et peuvent ainsi concerner :
|
Plus d'info sur la page dédiée au RGPD de l'intranet Groupe
*Donnée personnelle : Désigne toute information concernant une personne identifiée ou identifiable. une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs facteurs spécifiques de son identité physique, psychologique, mentale, économique, culturelle ou sociale.
Il est à noter que les données sont considérées comme personnelles même lorsqu'elles sont collectées et / ou traitées en relation avec la vie professionnelle.
Il convient également de noter que, lorsque des données à caractère personnel ont été rendues publiques, elles restent des données à caractère personnel qui doivent être traitées conformément à la législation applicable en matière de protection des données.
Enfin, une information qui serait considérée à elle seule comme une donnée non personnelle peut être considérée comme une donnée personnelle lorsqu'elle est traitée en coordination avec d'autres informations. Par exemple, les heures de travail d'un employé pris isolément ne constituent pas des données à caractère personnel, mais lorsqu'elles sont traitées par une entreprise qui porte le nom de l'employé et les heures de travail correspondantes, il s'agit d'une donnée à caractère personnel.
|
Le numéro d'identification d'un employé constituerait une donnée personnelle même si, directement, la lecture de cette information ne permet pas de déterminer l'identité de l'employé. Néanmoins, indirectement, il reste possible d’attacher ce numéro d’identité à l’identité d’un individu. |
|
La photographie d'individus constitue une donnée personnelle. |
|
L’autorité de protection des données considère l’adresse IP comme des données à caractère personnel. |