En vigueur depuis mai 2016, en application depuis mai 2018 - le règlement général sur la protection des données (RGPD) de l'UE laisse encore de nombreuses entreprises dans l'expectative : Sommes-nous concernés ? Et si oui : comment atteindre la sécurité juridique ? Et que pouvons-nous faire pour la conformité en matière de protection des données ?
Loading...
Depuis mai 2018, les entreprises qui manipulent des données personnelles - et elles sont nombreuses - doivent être prêtes à payer une lourde amende. Les sanctions en cas de violation de données peuvent être importantes. Et c'est toujours le cas si elles ne se conforment pas pleinement aux exigences du nouveau GDPR. En outre, la nouvelle version de la loi fédérale allemande sur la protection des données (BDSG) complète et étaye le RGPD. Toutefois, l'incertitude règne partout :
- Qu'est-ce qu'une "donnée personnelle" ?
- Sommes-nous une "entité responsable" au sens du RGPD ?
- Qui est une "personne concernée" ?
- Que signifie exactement le "traitement automatisé" des données à caractère personnel ?
- Devons-nous désigner un délégué à la protection des données ?
Quelles sont les mesures à mettre en œuvre ?
La liste des questions de conformité en matière de protection des données auxquelles il faut répondre est longue.
Il est vrai que la définition des termes utilisés dans le règlement peut être trouvée dans des listes de questions fréquemment posées (FAQ). Cependant, cela ne garantit pas nécessairement la clarté en ce qui concerne la signification concrète pour l'entreprise individuelle. Au plus tard lorsque la mise en œuvre et le respect des mesures et obligations nécessaires (car requises) par les employés sont en suspens, il doit y avoir les bonnes réponses à ces questions, par exemple :
- Que sont les "mesures techniques et organisationnelles" ?
- Quand sont-elles nécessaires ?
- Qu'en est-il de la "proportionnalité" ?
- Qu'en est-il des nombreux "contrôles" exigés par le RGPD, tels que les "contrôles d'accès ou de divulgation" ?
- Comment garantir le respect de la protection des données ?
Protection des données et sécurité de l'information
Dans tous les cas, la première étape pour une entreprise concernée est de mettre en place un système efficace de gestion de la protection des données. système de gestion de la protection des données - adapté à ses besoins individuels, si nécessaire déjà en vue d'une certification accréditée.
On confond souvent protection des données et sécurité de l'information : La protection des données et la sécurité de l'information sont deux paires de chaussures, même s'il y a des chevauchements (par exemple, diverses mesures de contrôle). Par exemple, les entreprises qui disposent d'un système de gestion de la sécurité de l'information (SGSI) complet conforme à la norme ISO 27001 couvrent dans une certaine mesure le thème de la protection des données.
Mais même dans ce cas, il reste un delta qui peut être découvert et comblé, avec ou sans SMSI, à l'aide d'une analyse des lacunes.
"La différence fondamentale entre les deux sujets : La sécurité de l'information protège les données d'une entreprise contre l'utilisation abusive par des tiers ; la protection des données vise à protéger les données personnelles."
En août 2019, avec la norme ISO 27701 une nouvelle norme a été publiée qui formule des exigences en matière de protection des données dans le cadre de la gestion de la sécurité de l'information. L'ISO 27701 spécifie ainsi un système de gestion de la protection des données basé sur l'ISO 27001, l'ISO 27002 (lignes directrices pour les mesures de sécurité de l'information) et l'ISO 29100 (cadre pour la protection des données). La norme ISO 27701 est un complément à la norme ISO 27001. La certification selon la nouvelle norme seule n'est pas possible.
Loading...
Management de la protection des données avec ISO 27701
La protection des données dans le contexte de la sécurité de l'information - un sujet passionnant ? Pour en savoir plus sur la norme ISO 27701, consultez notre livre blanc gratuit.
Conformité à la protection des données - avantages
Vous recevez
- Des informations fiables sur les domaines d'action
- Des connaissances sur les potentiels cachés
- Plus de sécurité d'action et de sécurité juridique dans le traitement des données après la mise en œuvre des mesures appropriées
En toute sécurité - avec un audit de protection des données par DQS France
Les entreprises qui s'efforcent de se conformer à la protection des données devraient donc faire deux choses : se familiariser le plus rapidement possible avec le sujet, ou familiariser leurs responsables de la conformité, et faire déterminer le statu quo par un organisme indépendant tel que DQS France, sous la forme d'une analyse des lacunes.
Un tel audit de protection des données se concentre sur une auto-évaluation avec examen des documents. L'entreprise est ensuite contrôlée sur place pour déterminer si elle respecte les aspects essentiels de la protection des données. Un rapport indique s'il y a lieu de prendre des mesures et, le cas échéant, lesquelles.
Loading...
Gap Analysis - Protection des données DQS France
Quel est le volume de travail nécessaire pour un GAP Analysis ? Découvrez-le gratuitement et sans engagement.
Newsletter DQS
Restez informé et inscrivez-vous à notre newsletter !
Auteur
Gert Krueger
Expert et chef de projet pour la sécurité de l'information, BSI-KritisV et la protection des données chez DQS. En outre, il est auditeur de longue date pour le management de la qualité et de l'environnement.
Loading...