Vous avez probablement déjà entendu parler du Règlement général sur la protection des données (RGPD) et vous pourriez vous poser quelques questions sur la façon de s’y préparer.
Le RGPD est la nouvelle loi de l’Union européenne sur la protection des données personnelles qui réglemente la manière dont une organisation traite ou utilise les données personnelles des citoyens de l’UE, y compris les organisations situées en dehors de l’UE.
Les données personnelles sont des données qui peuvent permettre d’identifier une personne.
Toute organisation qui détient ou utilise des données sur des personnes à l’intérieur de l’Union européenne est soumise aux nouvelles règles, quel que soit l’endroit où elle est basée.
Les entreprises peuvent ne pas avoir de relation directe avec l’Europe et être soumises aux nouvelles lois – par exemple si elles soutiennent des entreprises qui ont des clients à l’intérieur de l’UE.
Si vous collectez, modifiez, transmettez, efface ou stockez les données personnelles des citoyens de l’UE, vous devrez vous conformer au GDPR.
À compter 25 mai 2018, les entreprises et autres entités ne respectant pas ces dispositions pourront être exposés à une amende.
Ce règlement remplacera l’actuelle Directive sur la protection des données personnelles datant de 1995.
EDiCS s’engage à assurer la sécurité des données des ses clients et fournit les outils nécessaires afin de respecter les directives sur la protection des données personnelles.
Nous conservons les documents et leurs indexes conformément à la durée prévue dans nos contrats avec les émetteurs.
Tout utilisateur ayant créé un compte sur la plateforme EDiCSpro peut gérer ses données personnelles, demander la suppression de son compte et demander aux émetteurs de supprimer les documents le concernant.
La norme ISO 27002 est le code de bonnes pratiques qui est le pendant de la norme ISO 27001. Il établit un certain nombre de bonnes pratiques qui adressent des pans entiers de la mise en conformité du RGPD.
Thématiques RGPD | Correspondances avec ISO 27001 |
|---|---|
| Nécessité de Contrôle d’accès | Contrôle d’accès (27002 : 9.1.1) |
| Nécessité de Classification des informations | Classification des informations (27002 : 8.2.1 ; 8.2.2 ; 8.2.3) |
| Séparation des pouvoirs | Rôles, Responsabilités et gestion des accès (27002 : 6.1.1 ; 6.1.2 ; 8.1.2 ; 9.2.3) |
| Transparence | Classification des informations (27002 : 8.2.1) Confidentialité et traçabilité |
| Responsabilité | Rôles, Responsabilités et gestion des accès (27002 : 6.1.1 ; 8.1.2) |
| Documentation, Description des processus | Documentation (27001 : 7.5) |
| Reproductibilité | Protection des transactions (27002 : 14.1.3) |
| Auditabilité | Contrôle SMSI (27002 : 18.2) |
| Contrôle des accès des utilisateurs | RH (27002 : 9.1 ; 9.2 ; 9.3 ; 9.4) et proche de 27002 : 7.1 ; 7.2 |
| Modification et suppression des données | Description / propriété / retours des actifs (27002 : 8.1.2 ; 8.1.4 ; 11.2.7) |
| Réclamation / Contestation | Gestion des incidents (27002 : 16.1) |
| Interruption de processus | Gestion des incidents (27002 : 16.1) |
