En vigueur depuis mai 2016, en application depuis mai 2018 - le règlement général sur la protection des données (RGPD) de l'UE laisse encore de nombreuses entreprises dans l'expectative : Devons-nous nous en préoccuper ? Et si oui : comment atteindre la sécurité juridique ? Et que pouvons-nous faire pour assurer la conformité en matière de protection des données ?

Loading...

Depuis mai 2018, les entreprises qui traitent des données personnelles - et elles sont assez nombreuses - doivent se préparer à attraper une grosse amende. Les amendes pour violation de données peuvent être considérables. Et elles le sont toujours si elles ne se conforment pas pleinement aux exigences du nouveau GDPR. En outre, la nouvelle version de la loi fédérale allemande sur la protection des données(BDSG) complète et étaye le GDPR. Toutefois, l'incertitude est omniprésente :

  • Qu'est-ce qu'une "donnée personnelle" ?
  • Sommes-nous une "entité responsable" au sens du GDPR ?
  • Qui est une "personne concernée" ?
  • Que signifie exactement le "traitement automatisé" des données à caractère personnel ?
  • Devons-nous désigner un délégué à la protection des données ?

Quelles sont les mesures à prendre ?

La liste des questions de conformité en matière de protection des données auxquelles il faut répondre est longue.

Il est vrai que la définition des termes utilisés dans le règlement peut être trouvée dans des listes de questions fréquemment posées. Toutefois, cela ne garantit pas nécessairement la clarté de la signification concrète de ces termes pour chaque entreprise. C'est au plus tard lorsque les travailleurs mettent en œuvre et respectent les mesures et obligations nécessaires (car obligatoires) qu'ils doivent trouver les bonnes réponses à ces questions, par exemple :

  • Qu'entend-on par "mesures technico-organisationnelles" ?
  • Quand sont-elles nécessaires ?
  • Qu'en est-il de la "proportionnalité" ?
  • Qu'en est-il des nombreux "contrôles" exigés par le GDPR, tels que les "contrôles d'accès ou de divulgation" ?
  • Comment garantir le respect de la protection des données ?

Protection des données contre sécurité de l'information

Dans tous les cas, la première étape pour une entreprise concernée est de mettre en place un système de gestion de la protection des données - adapté à ses besoins individuels, si nécessaire déjà en vue d'une certification accréditée.

La confusion est fréquente : la protection des données et la sécurité de l'information sont deux paires de chaussures, même s'il y a des chevauchements (par exemple, des mesures de contrôle différentes). Par exemple, les entreprises qui disposent d'un système de gestion de la sécurité de l'information (SGSI) complet conforme à la norme ISO 27001 couvrent dans une certaine mesure la protection des données.

Mais même dans ce cas, il reste un delta qui peut être découvert et comblé, avec ou sans SMSI, à l'aide d'une analyse des lacunes.

"La différence fondamentale entre les deux sujets : La sécurité de l'information protège les données d'une entreprise contre l'utilisation abusive par des tiers ; la protection des données se concentre sur la protection des données personnelles."

En août 2019, avec la norme ISO 27701 une nouvelle norme sera publiée, qui formulera des exigences en matière de protection des données dans le cadre de la gestion de la sécurité de l'information. L'ISO 27701 spécifie ainsi un système de gestion de la protection des données basé sur l'ISO 27001, l'ISO 27002 (lignes directrices sur les mesures de sécurité de l'information) et l'ISO 29100 (cadre de protection des données). La norme ISO 27701 complète la norme ISO 27001. La certification selon la nouvelle norme seule n'est pas possible.

Conformité à la protection des données - avantages

Vous obtiendrez

  • Des informations fiables sur les domaines d'action
  • Connaissance du potentiel caché
  • Une plus grande sécurité d'action et une sécurité juridique dans le traitement des données après la mise en œuvre des mesures appropriées

En toute sécurité - avec un audit de protection des données de DQS

Les entreprises qui s'efforcent de respecter la protection des données devraient donc faire deux choses : se familiariser le plus tôt possible avec le sujet, ou familiariser leurs responsables de la conformité, et faire déterminer le statu quo par un organisme indépendant tel que DQS , sous la forme d'une analyse des lacunes.

Un tel audit de protection des données se concentre sur l'auto-évaluation et l'examen des documents. Un contrôle sur place est ensuite effectué pour vérifier si l'entreprise respecte les aspects essentiels de la protection des données. Un rapport indique si des mesures doivent être prises et, le cas échéant, lesquelles.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

DQS Gap Analysis Protection des données

Quel est le volume de travail nécessaire pour une analyse des lacunes ? Découvrez-le gratuitement et sans engagement.

Auteur
Gert Krueger

Expert et chef de projet pour la sécurité de l'information, BSI-KritisV et la protection des données chez DQS. En outre, il est auditeur de longue date pour le management de la qualité et de l'environnement.

Loading...