Notre démarche RGPD

Chez Agice, la protection de vos données personnelles est une priorité. Nous nous engageons à respecter les exigences du Règlement Général sur la Protection des Données (RGPD) en assurant la transparence, la sécurité et le contrôle sur l’utilisation de vos informations. Nous mettons en place des mesures strictes pour garantir que vos données sont traitées de manière responsable et éthique.

Notre démarche RGPD

Notre démarche de conformité RGPD

  • Dans notre démarche de conformité avec le RGPD, AGICE est soit responsable du traitement, soit sous-traitant, le traitement des données étant effectué pour le compte d’un responsable du traitement, son client.
  • AGICE présente des garanties quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.
  • Cette démarche est intégrée dans notre certification ISO27001

AGICE prend les mesures nécessaires pour garantir la sécurité des données, en minimisant les risques de pertes de données ou de piratage

Les process

  • Les process techniques et organisationnels sont documentés dans un système qualité certifié ISO 9001 et ISO 27001
  • La Fédération des tiers de confiance du numérique (FNTC) a validé l’adhésion de la société AGICE au Collège 2 – Prestataires et éditeurs de confiance.

Les mesures physiques

  • Contrôle d’accès aux bâtiments par badges et vidéosurveillance
  • Système anti-intrusion avec intervention sur site
  • Destruction des documents non conformes en production sur instruction du client

Les mesures informatiques

  • Infrastructure informatique avec serveurs répliqués, firewall, filtrage adresses IP
  • Plan de reprise /Continuité d’Activité (PRA/PCA)
  • Mise en place de sauvegardes informatiques journalières
  • Mises à jour des antivirus et logiciels
  • Changement régulier des mots de passe et utilisation de mots de passe complexes
Agice, RGPD

Notre démarche de conformité en qualité de sous-traitant

Existence d’un contrat de services

Le traitement de données est régi par un contrat, qui nous lie en qualité de sous-traitant à l’égard du responsable du traitement. Ce contrat définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Accord de confidentialité salarié et sous-traitants

En qualité de sous-traitant nous veillons à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité et soient soumises à une obligation légale appropriée de confidentialité.

Nous prenons toutes les mesures requises concernant la sécurité du traitement :

  • Nous respectons les conditions nécessaires pour recruter un autre sous-traitant
  • Nous aidons le responsable du traitement à garantir le respect des obligations prévues liées à la nature du traitement et des informations à notre disposition
  • Selon le choix du responsable du traitement, nous supprimons toutes les données à caractère personnel ou les renvoyions au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruisons les copies existantes.

Notre démarche de conformité en qualité de responsable de traitement

AGICE collecte des informations nécessaires à son activité, Informations RH, Informations clients…

ETAPE 1 – DÉSIGNER UN PILOTE

Pour piloter la gouvernance des données personnelles de notre structure, nous avons désigné un délégué à la protection des données (DPO), il exerce une mission d’information, de conseil et de contrôle en interne.

L’activité de notre entreprise nous amène à réaliser un traitement régulier de données sur des personnes à grande échelle, et à traiter des données dites « sensibles ». Véritable relais interne, le délégué à la protection des données est chargé de s’assurer de la mise en conformité au règlement européen. Il constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Missions du délégué à la protection des données :

  • Informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
  • Contrôler le respect du règlement et du droit national en matière de protection des données
  • Conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution
  • Coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci
  • S’informer sur le contenu des nouvelles obligations
  • Sensibiliser les décideurs sur l’impact de ces nouvelles règles
  • Réaliser l’inventaire des traitements de données de votre organisme
  • Concevoir des actions de sensibilisation
  • Piloter la conformité en continu

ETAPE 2 – CARTOGRAPHIE DE NOS TRAITEMENTS DE DONNÉES PERSONNELLES

Un registre nous permet de recenser nos traitements de données personnelles

  • Les différents traitements de données personnelles
  • Les catégories de données personnelles traitées
  • Les objectifs poursuivis par les opérations de traitements de données
  • Les acteurs (internes ou externes) qui traitent ces données. Nous avons clairement identifié les prestataires sous-traitants afin d’actualiser les clauses de confidentialité
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

Pour chaque traitement de données personnelles, nous nous posons les questions suivantes :

QUI ?
  • Nous inscrivons dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données
  • Nous identifions les responsables des services opérationnels traitant les données au sein de notre organisme
  • Nous établissons la liste des sous-traitants.
QUOI ?
  • Nous identifions les catégories de données traitées
  • Nous identifions les données susceptibles de soulever des risques en raison de leur sensibilité particulière comme les données relatives à la santé.
POURQUOI ?
  • Nous indiquons la ou les finalités pour lesquelles nous collectons ou traitons ces données
OÙ ?
  • Nous déterminons le lieu où les données sont hébergées.
  • Nous indiquons dans quels pays les données sont éventuellement transférées.
JUSQU’À QUAND ?
  • Nous indiquons, pour chaque catégorie de données, combien de temps nous pouvons les conserver.
COMMENT ?
  • Nous indiquons les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

ETAPE 3 – PRIORISER LES ACTIONS À MENER

  • Identifier les actions à mener pour nous conformer aux obligations actuelles et à venir sur la base de notre registre et dans le cadre de notre certification ISO 27001.
  • Prioriser nos actions au regard des risques que font peser nos traitements sur les droits et les libertés des personnes concernées.
  • Après avoir identifié les traitements de données personnelles mis en œuvre au sein de notre organisme, nous devons, pour chacun d’eux, identifier les actions à mener pour nous conformer aux obligations actuelles et à venir.

Points d’attention sur nos traitements

  • Nous nous assurons que seules les données strictement nécessaires à la poursuite de nos objectifs sont collectées et traitées.
  • Nous identifions la base juridique sur laquelle se fonde notre traitement
  • Nous vérifions que nos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, nous nous assurons de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
  • Nous prévoyons les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…)
  • Nous vérifions les mesures de sécurité mises en place.

Vigilance particulière sur des traitements avec certains types de données

  • Données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale
  • Données concernant la santé ou l’orientation sexuelle
  • Données génétiques ou biométriques
  • Données d’infraction ou de condamnation pénale
  • Données concernant des mineurs

Une analyse d’impact relative à la protection des données (AIPD) n’est pas nécessaire dans notre activité. Nous intervenons en qualité de sous-traitant sur ordre de l’établissement collecteur. Cette demande de service fait l’objet d’un contrat qui décrit la nature de notre intervention sur le traitement de ces données en conformité avec le RGPD

Agice, RGPD

ETAPE 4 – GÉRER LES RISQUES

Lorsque nous n’intervenons pas en qualité de sous-traitant, mais en tant que responsable du traitement, et si nous identifions des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, nous menons, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).

Cette analyse nous aide à construire des traitements de données respectueux de la vie privée et nous permettent de démontrer la conformité de notre traitement au RGPD.

Elle repose sur 2 piliers :

  • Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne font l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus
  • La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Une AIPD contient :

  • Une description du traitement étudié et de ses finalités.
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • Une évaluation des risques pour les droits et libertés des personnes concernées les mesures envisagées pour faire face aux risques.

Réaliser une AIPD est une bonne pratique pour s’assurer de créer un traitement conforme au RGPD et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés sur la vie privée. L’AIPD doit être réalisée avant la mise en œuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.

Qui participe à l’élaboration de l’analyse d’impact ?

  • Le responsable de traitement : valide l’AIPD et s’engage à mettre en œuvre le plan d’action défini dans l’AIPD
  • Le délégué à la protection des données : élabore le plan d’action et se charge de vérifier son exécution
  • Le(s) sous-traitant(s) : fournit les informations nécessaires à l’élaboration de l’AIPD
  • Les métiers (RSSI, maîtrise d’ouvrage, maîtrise d’œuvre) : aident à la réalisation d’AIPD en fournissant les éléments adéquats
  • Les personnes concernées : donnent leurs avis sur le traitement.

ETAPE 5 – ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, nous mettons en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

  • Dès la conception d’une application ou d’un traitement nous sommes attentifs à minimiser la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données. Nous nous assurons du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données. Pour cela, nous nous appuyons sur les conseils du délégué à la protection des données
  • Dans le cadre de notre certification ISO 27001, nous sensibilisons et organisons la remontée d’information en construisant notamment un plan de formation et de communication auprès de nos collaborateurs ;
  • Nous traitons les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités, l’exercice des droits se fait par voie électronique, si les données ont été collectées par ce moyen.
  • Nous anticipons les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

ETAPE 6 – DOCUMENTER LA CONFORMITÉ

Nous avons constitué et regroupé la documentation nécessaire. Les actions et documents réalisés à chaque étape sont réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
  • Le cas échant, les analyses d’impact relatives à la protection des données (AIPD) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
  • Le cas échant, l’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)

L’INFORMATION DES PERSONNES

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pour l’exercice des droits

LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
To top