RGPD : Être en conformité grâce à l’accompagnement d’ITNOVEM 

Aujourd’hui, 68% des Français se disent plus sensibles au sujet de la protection des données personnelles. Pour leur redonner le contrôle, un règlement européen existe depuis 2016 : le Règlement Général sur la Protection des Données (RGPD). Désormais, toutes les entreprises qui manipulent des données personnelles doivent être en conformité. Découvrez l’offre d’ITNOVEM. 

Publié le 2 juillet 2021 par Com itnovem

Qu’est-ce qu’une donnée à caractère personnel ? Une donnée personnelle englobe toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par un nom, un numéro, une donnée de localisation, une donnée de connexion…   

Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018, protège les données des résidents européens et possède une valeur juridique supérieure aux lois nationales. Tout organisme, public ou privé, traitant des données personnelles (quel que soit sa taille, son activité ou le pays d’implantation) est donc concernée si un établissement d’une entreprise est établi sur le territoire de l’Union Européenne ou si son activité cible des résidents européens.  

La mission de l’offre d’ITNOVEM : accompagner des entités ou filiales SNCF qui n’ont pas de délégué à la protection des données (DPO) interne dans leur mise en conformité au RGPD. 

Les cinq prestations de l’offre ITNOVEM  

Face à la nécessité d’être en conformité avec les lois et à la complexité des risques RGPD (Règlement Général sur la Protection des Données) auxquels les filiales SNCF sont confrontées, ITNOVEM a mis en place une équipe interne d’experts DPO (Délégués à la Protection des Données).  

​« L’un des objectifs du RGPD est d’accroitre la protection des données des personnes concernées, de permettre aux citoyens européens de mieux comprendre et contrôler le traitement de leurs données personnelles. L’exercice de ces nouveaux droits individuels implique donc un certain nombre d’obligations et de nouvelles responsabilités pour les organisations qui manipulent des données personnelles », explique Edouard Malbosc, Délégué à la Protection des Données (DPO) pour les clients ITNOVEM.   

La Factory Cloud & Cybersécurité d’ITNOVEM propose un accompagnement dans le traitement de leurs problématiques RGPD, le tout dans la maîtrise et le respect des processus, bonnes pratiques et directives SNCF.​ 

Comment être en conformité au sein d’une entité ? 

La mise en conformité au RGPD d’une entité doit répondre à différents objectifs :  

• Adapter les systèmes d’information (SI) aux principes de sécurité et de protection des données Security By Default et Privacy By Default  
• S’assurer de la conformité des prestataires (sous-traitants, partenaires) au RGPD via notamment la gestion contractuelle  
• Sensibiliser et former les collaborateurs aux enjeux et problématiques du RGPD  
• Être en mesure de répondre aux demandes d’accès des personnes concernées  
• Pouvoir signaler et notifier les violations de données personnelles à la CNIL sous 72h  
• Fixer des périodes de conservation et les accès aux données personnelles   
• Avoir une cartographie de ses traitements de données personnelles et des analyses de risques (PIA)  
• Garantir la transparence des manipulations de données personnelles par la mise en place d’un délégué à la protection des données  

“La conformité RGPD passe obligatoirement par l’information et la sensibilisation de tous les acteurs (collaborateurs, managers, direction…) sur les principes de la protection des données personnelles. Il est donc crucial qu’ils en comprennent les risques et les enjeux. Car ces derniers peuvent avoir un impact commercial, financier, pour l’image de l’entreprise ou ralentir un projet si les précautions ne sont pas anticipées”, alerte Edouard.  

Un risque important pour les entreprises et les personnes  

“Depuis son entrée en vigueur, le RGPD a cherché à responsabiliser toute entreprise et toute personne qui peut traiter ou demander à traiter de la donnée personnelle, et ce à chaque échelon. Cela peut être de la conception à la vente d’un produit, mais également pour toute finalité et tous les métiers (RH, développeurs, facturation, manager…)”, précise Edouard Malbosc.  

La manipulation de données personnelles par une organisation peut entraîner un risque pour les personnes :   

• Un accès illégitime à mes données par un tiers (entreprise, personne) peut entrainer une perte de confidentialité.  
• Une modification non désirée des données peut engendrer une perte d’intégrité des données.  
• Une disparition des données peut amener à une perte de leur disponibilité.  

Dans certains cas, les conséquences peuvent être graves comme des discriminations, l’exclusion des droits ou d’un contrat, le harcèlement, la dégradation de la vie privée… Mais une autorité indépendante française veille : la Commission Nationale Informatique et Libertés (CNIL). Elle accompagne les entreprises à travers des consultations publiques, des référentiels applicables et des exemples pratiques concernant la mise en application de certaines parties du RGPD. « La CNIL est également habilitée pour réaliser des audits et instruire des plaintes s’il y a un manquement à la loi (avertissement de l’entreprise concernée, mise en demeure, amende financière allant jusqu’à 4% du CA ou 20 M€…) », souligne l’itnovémien.  

À ce jour, plus de 15 filiales SNCF, comme Fondation SNCF, TGV Lyria ou encore SNCF Participations, ont déjà fait confiance à ITNOVEM.