En vigueur depuis mai 2016, en application depuis mai 2018 - le Règlement général sur la protection des données (RGPD) de l'UE laisse encore de nombreuses entreprises s'interroger : Sommes-nous concernés ? Et si oui : comment obtenir une sécurité juridique ? Et que pouvons-nous faire pour assurer la conformité en matière de protection des données ?
Loading...
Depuis mai 2018, les entreprises qui traitent des données personnelles - et elles sont assez nombreuses - doivent se préparer à attraper un fifre lourd à payer. Les sanctions en cas de violation de données peuvent être importantes. Et c'est toujours le cas si elles ne se conforment pas pleinement aux exigences du nouveau GDPR. En outre, la nouvelle version de la loi fédérale allemande sur la protection des données(BDSG) complète et étaye le GDPR. Ici, cependant, l'incertitude prévaut partout :
- Qu'est-ce qu'une "donnée personnelle" ?
- Sommes-nous une "entité responsable" au sens du GDPR ?
- Qui est une "personne concernée" ?
- Que signifie exactement le "traitement automatisé" des données à caractère personnel ?
- Devons-nous désigner un délégué à la protection des données ?
Quelles sont les mesures à mettre en œuvre ?
La liste des questions de conformité en matière de protection des données auxquelles il faut répondre est longue.
Il est vrai que la définition des termes utilisés dans le règlement peut être trouvée dans des listes de FAQ. Toutefois, cela ne garantit pas nécessairement la clarté en ce qui concerne la signification concrète pour l'entreprise individuelle. Au plus tard lorsque la mise en œuvre et le respect des mesures et obligations nécessaires (car exigées) par les employés sont en suspens, il doit y avoir les bonnes réponses à de telles questions, par exemple :
- Que sont les "mesures techniques et organisationnelles" ?
- Quand sont-elles nécessaires ?
- Qu'en est-il de la "proportionnalité" ?
- Qu'en est-il des nombreux "contrôles" requis par le GDPR, tels que les "contrôles d'accès ou de divulgation" ?
- Comment assurer la conformité à la protection des données ?
Protection des données vs. sécurité de l'information
Dans tous les cas, la bonne démarche pour une entreprise concernée est de mettre en place un système de management de la protection des données - adapté à ses besoins individuels, si nécessaire déjà en vue d'une certification accréditée.
Ce qui est souvent confondu ici : La protection des données et la sécurité de l'information sont deux paires de chaussures, même s'il existe des chevauchements (par exemple, diverses mesures de contrôle). Ainsi, les entreprises qui disposent d'un système de management de la sécurité de l'information (SMSI) complet et conforme à la norme ISO 27001 couvrent dans une certaine mesure le thème de la protection des données.
Mais même dans ce cas, il reste un delta qui peut être mis en évidence et comblé avec ou sans SMSI à l'aide d'une analyse des lacunes.
"La différence fondamentale entre les deux sujets : La sécurité de l'information protège les données d'une entreprise contre une utilisation abusive par des tiers ; la protection des données vise à protéger les données personnelles."
En août 2019, avec ISO 27701 une nouvelle norme a été publiée, qui formule des exigences en matière de protection des données dans le management de la sécurité de l'information. La norme ISO 27701 spécifie ainsi un système de management de la protection des données basé sur les normes ISO 27001, ISO 27002 (lignes directrices pour les mesures de sécurité de l'information) et ISO 29100 (cadre pour la protection des données). L'ISO 27701 est un complément à l'ISO 27001. La certification selon la nouvelle norme seule n'est pas possible.
Conformité à la protection des données - avantages
Vous recevez
- des informations fiables sur les domaines d'action
- Des connaissances sur les potentiels cachés
- Plus de sécurité d'action et de sécurité juridique dans le traitement des données après la mise en œuvre des mesures appropriées.
En toute sécurité - avec un audit de protection des données par DQS
Les entreprises qui s'efforcent d'être conformes en matière de protection des données devraient donc faire deux choses : se familiariser le plus rapidement possible avec le sujet ou en informer leurs responsables de la conformité, et faire déterminer le statu quo par un organisme indépendant tel que DQS sous la forme d'une analyse des lacunes.
L'objectif d'un tel audit de protection des données est une auto-évaluation avec examen des documents. L'entreprise est ensuite contrôlée sur place pour déterminer si elle respecte les aspects essentiels de la protection des données. Un rapport montre s'il est nécessaire d'agir et, le cas échéant, quelles sont les mesures à prendre.
Loading...
Analyse des lacunes du DQS Protection des données
Quelle est la charge de travail nécessaire pour une analyse GAP ? Découvrez-le gratuitement et sans engagement.
Bulletin d'information DQS
Restez informé et inscrivez-vous à notre newsletter !
Auteur
Gert Krueger
Expert et chef de projet pour la sécurité de l'information, BSI-KritisV et la protection des données chez DQS. En outre, il est auditeur de longue date pour le management de la qualité et de l'environnement.
Loading...