LE RGPD EN PRATIQUE

RGPD en Pratique par Groupe Burrus Technologies

01 L’avancée du plan d’actions « RGPD » du Groupe Burrus

L’année 2018 a été marquée par le lancement de nombreux chantiers : définition de la stratégie de mise en conformité, réalisation des audits de conformité et définition des plans d’action pour mise en conformité de chacune des entités, mise en oeuvre de ces plans d’actions.

Les actions du GIE : L’un des gros chantiers consiste notamment à rédiger de la documentation « RGPD Compliant » utilisable par toutes les entités du Groupe : courriers type, clauses contractuelles type (aussi bien vis-à-vis des clients, que des assureurs, partenaires et fournisseurs), procédures types, questionnaires et formulaires de conformité.

Tous ces outils sont à votre disposition sur simple demande.

Ces actions sont en cours et se poursuivront sur l’année 2019. Nous aurons l’occasion de vous tenir informés des évolutions à venir sur les prochains mois.

02 L’actualité : Des sanctions et des avertissements

Deux faits majeurs sont à noter en ce quatrième trimestre 2018.

Tout d’abord, la première sanction sous l’ère du RGPD a été rendue au Portugal par la Comissão Nacional de Protecção de Dado avec une amende de 400 000 € à l’encontre d’un hôpital portugais. En l’espèce, en raison notamment du non-respect du principe de privacy by default (principe de minimisation des données / gestion des droits d’accès des personnels), l’autorité de protection locale a considéré que l’hôpital avait manqué à ses obligations. Le montant de l’amende, quoique très éloigné des maximums applicables, n’en demeure pas moins élevé considérant la primeur de la sanction et le type de société concernée (pour comparaison l’amende la plus important infligée par la CNIL à ce jour s’élève à 300 000 €).

Les actions du GIE : La question de la gestion des droits est un sujet d’importance au sein du Groupe qui fait partie des points pilotés par le RSSI du Groupe, s’agissant d’un sujet majeur de sécurité.

Ensuite, la CNIL a mis en demeure le 18 octobre 2018 les sociétés HUMANIS et Malakoff Médéric pour « détournement de finalités ». En l’espèce, les faits (datant de début de 2018 soit avant l’entrée en application du RGPD) consistaient en l’utilisation de données récupérées par ces sociétés auprès de l’AGIRC/ARRCO pour les utiliser à des fins de prospection commerciale. Cette pratique qui constitue un détournement de finalité est un manquement grave aux règles relatives à la protection des données. Bulletin d’information DPO n°2 – Novembre 2018 Page 2 / 2

La CNIL les a ainsi mises en demeure de cesser ces pratiques sous 30 jours. A défaut, elles s’exposeraient à de lourdes amendes.

Les actions du GIE : Les audits ont permis de vérifier qu’il n’y avait pas, au sein du Groupe, d’usage détourné des données collectées.

03 L’actualité : des violations de données nombreuses

Ces derniers mois de nombreuses affaires de violation de données concernant des entreprises de taille et de secteurs très divers ont été rendues publiques : Facebook, MyHeritage, Location U, MyfitnessPal, Crédit Mutuel Massif Central, Cathay Pacific, Instagram, …

Cela a été confirmé par la CNIL qui a communiqué sur le nombre de violations qui lui ont été notifiées depuis l’entrée en application du RGPD le 25 mai dernier : 742 notifications concernant les données personnelles de près de 33 millions de personnes !

Si l’immense majorité de ces violations provient d’acte de piratage il faut néanmoins noter qu’environ 20% de celles-ci proviennent d’actes accidentels ! Vigilance donc dans nos actions du quotidien !

RGPD En Pratique Statistiques piratage GBT

Les actions du GIE : Des procédures d’urgence sont rédigées afin d’anticiper les hypothèses les plus graves.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Close Menu