Guide des communes 2018
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
LG<br />
BEST OF & GUIDE <strong>2018</strong><br />
35<br />
une certaine marge de manœuvre aux<br />
Etats-membres qui pourront par exemple<br />
choisir l’âge minimum du consentement <strong>des</strong><br />
enfants.<br />
Les entreprises établies hors de l’UE qui<br />
offrent <strong>des</strong> biens et services aux personnes<br />
concernées dans l’Union et/ou suivent le<br />
comportement de ces personnes, devront se<br />
soumettre au RGPD.<br />
En outre, <strong>des</strong> principes de protection<br />
<strong>des</strong> données devront être implantés dès<br />
la conception <strong>des</strong> produits, services ou<br />
systèmes exploitants <strong>des</strong> données à caractère<br />
personnel (Privacy by Design).<br />
Certaines entreprises et les organismes<br />
publics devront aussi nommer un délégué à la<br />
protection <strong>des</strong> données ou «Data Protection<br />
Officer (DPO)». Le DPO est un acteur clé<br />
au sein de la gouvernance de l’organisation,<br />
ayant notamment pour mission d’informer,<br />
conseiller, contrôler le respect du RGPD et<br />
de permettre le dialogue avec l’autorité de<br />
contrôle (la Commission Nationale pour la<br />
Protection <strong>des</strong> Données au Luxembourg).<br />
Devant l’ampleur de la tâche, quel est<br />
l’état d’esprit <strong>des</strong> acteurs de la place?<br />
Dans la mesure où les sanctions peuvent<br />
atteindre jusqu’à 4% du chiffre d’affaires<br />
annuel mondial ou 20 millions d’euros, je<br />
dirais qu’il est plutôt à la crainte. Certains<br />
observent la concurrence pour repérer si<br />
<strong>des</strong> démarches de conformité sont déjà<br />
mises en place et d’autres tentent de savoir<br />
si <strong>des</strong> sanctions toucheront leur secteur<br />
d’activités. Mais il ne faut pas oublier que<br />
la CNPD peut également imposer <strong>des</strong><br />
mesures correctrices, comme par exemple<br />
ordonner la rectification ou l’effacement<br />
de données à caractère personnel ou la<br />
limitation du traitement.<br />
Et parmi les bons élèves…<br />
MGSI remplira le rôle de DPO pour la<br />
Chambre <strong>des</strong> Députés et accompagne<br />
plusieurs organisations et entreprises,<br />
notamment Luxair Group et Post Group<br />
dans leur mise en conformité.<br />
“Une équipe<br />
d’experts<br />
multidisciplinaires,<br />
spécialisée en<br />
protection <strong>des</strong><br />
données”<br />
Quelles sont les principales étapes d’une<br />
mise en conformité?<br />
Le 25 mai étant à nos portes, la priorité<br />
est donc d’analyser votre obligation de<br />
nommer ou non un DPO, de définir<br />
son rôle et ses responsabilités au sein de<br />
l’entreprise conformément au RGPD.<br />
Ensuite, il est nécessaire de procéder à un<br />
inventaire <strong>des</strong> traitements de données à<br />
caractère personnel effectués au sein de<br />
chaque service/département de l’entreprise:<br />
cette démarche permet d’avoir une vue<br />
d’ensemble pour procéder à une analyse<br />
d’écarts avec le RGPD et prioriser les<br />
actions à mettre en œuvre pour la mise en<br />
conformité.<br />
Par la suite, il est essentiel de mettre<br />
en place <strong>des</strong> procédures permettant aux<br />
individus d’exercer leurs droits, d’identifier<br />
les sous-traitants et revoir les contrats<br />
pour respecter les exigences du RGPD<br />
et bien entendu se former sur le sujet,<br />
notamment en assistant aux différentes<br />
formations offertes par MGSI. Il faut<br />
veiller à mettre en place <strong>des</strong> mesures de<br />
sécurité appropriées en prenant en compte<br />
notamment, la nature <strong>des</strong> données.<br />
Les données de catégories particulières,<br />
dites «sensibles» requièrent de plus<br />
gran<strong>des</strong> précautions…<br />
Le RGPD entend par «données de<br />
catégories particulières» toutes données<br />
qui renseignent notamment les origines<br />
ethniques ou raciales, les opinions<br />
politiques, philosophiques ou religieuses,<br />
l’appartenance syndicale, la santé ou la vie<br />
sexuelle. En principe, le traitement de ces<br />
données est interdit, sauf exceptions, par<br />
exemple, si la personne concernée a donné<br />
son consentement explicite.<br />
Comment pourrait-on présenter MGSI?<br />
C’est une équipe d’experts multidisciplinaires,<br />
spécialisée en protection <strong>des</strong><br />
données et en sécurité de l’information<br />
dont la mission est d’accompagner<br />
les organisations dans leur mise en<br />
conformité avec les exigences du<br />
RGPD. Nous sommes un partenaire<br />
officiel de l’IAPP (International Association<br />
of Privacy Professionals) et donnons<br />
<strong>des</strong> formations de deux jours pour les<br />
certifications CIPP/E et CIPM. Nous<br />
offrons également <strong>des</strong> formations de deux<br />
jours permettant de prendre connaissance<br />
<strong>des</strong> éléments clés du RGPD afin de mettre<br />
en place une démarche de conformité au<br />
sein <strong>des</strong> entreprises et organismes.<br />
MGSI peut dès lors former et assister<br />
les DPO internes ou bien être mandatée<br />
en qualité de DPO externe. Son<br />
expertise inclut les spécificités juridiques,<br />
organisationnelles, techniques et de sécurité<br />
selon les secteurs d’activités, et ce, dans le<br />
respect <strong>des</strong> principes d’indépendance et<br />
d’absence totale de conflit d’intérêt.<br />
Pour plus d’informations, MGSI organise<br />
un événement sur la protection <strong>des</strong> données<br />
les 29 et 30 mai, rdv sur www.ldpd.lu n