RGPD (GDPR) et saisie de données personnelles

RGPD - GDPR Saisie de données personnelles

Saisie de données personnelles sous RGPD (GDPR)

Sous traiter en toute sécurité.

Le 25 mai 2017 la nouvelle loi RGPD (Règlement Général sur la Protection des Données, GDPR en Anglais) rentrera en vigueur, de nombreuses sociétés ne sont pas prêtes. Ce texte bouleverse les habitudes en matière de saisie de données personnelles et modifie grandement le rapport entre le responsable de traitement et ses sous traitants.

pour rappel :

Le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

Le sous traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Par ailleurs la responsabilité du responsable de traitement est engagée avec celle du sous traitant.

Pour rappel le principe général est que les transferts de données à caractère personnel hors du territoire de l’Union européenne sont interdits à moins que le pays ou le destinataire n’assure un niveau de protection suffisant. Dans l’immense majorité des cas, à part pour quelques pays, il sera indispensable dans le cas d’un transfert hors EU d’obtenir une autorisation spécifique de la CNIL (dans un délai plus ou moins long sans aucune garantie d’acceptation) en présentant des Binding corporate Rules (BCR) & clauses contractuelles types très contraignantes et parfois difficile à mettre en place.

En qualité de « sous traitant » en saisie de données personnelles nous sommes donc soumis à des règles strictes devant offrir plusieurs garanties au responsable de traitement à la fois contractuelles, organisationnelles et techniques.

Voici les 3 garanties que nous offrons au responsable de traitement en plus de notre principal avantage qui est que notre centre de traitement pour les données personnelles soit géographiquement situé à l’intérieur de L’EU (Plovdiv en Bulgarie).

 

1- Un contrat avec des garanties contractuelles en matière de saisie de données personnelles :

  • Confidentialité des données
  • Propriété intellectuelle des données
  • Non diffusion des données
  • Non duplication des données
  • Délai de stockage des données
  • Délai de destruction des données après livraison
  • Garantie de non transfert des données vers un pays tiers
  • Garantie de non transfert des données vers un sous traitant tiers

2- Un registre de traitement mise à jour et disponible sur simple demande

Sur ce registre (étant une obligation légale pour les sociétés de plus de 250 salariés) figure :

  • Nom et coordonnées de l’établissement principal concerné par le traitement. 
  • Nom et coordonnées de notre représentant 
  • Nom du responsable de traitement pour lequel nous agissons (donneur d’ordre)
      • Les coordonnées de son DPO (délégué à la protection des données) au sein de son organisation.
  • Un historique des catégories de traitement effectués pour le compte du responsable du traitement, à savoir, pour chaque lot traité :
        • Une description des catégories de données traitées (par exemple, données d’identification, données financières, données de géolocalisation, etc.
        • Une description du traitement (saisie, catégorisation, enrichissement etc)
        • Une description des catégories de personnes dont les données sont traitées (ex : clients, visiteurs du site web, prospects, employés, prestataires, mineurs d’âge, etc.)
  • Une description générale des mesures de sécurité techniques et organisationnelles que nous avons mises en place. (voir paragraphe suivant)

3- Des mesures de sécurité techniques et organisationnelles adaptées à la saisie de données personnelles.

Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

Flux des données personnelles entrantes et sortantes

Support papiers :

  1. Reception des supports par chef de projet dédié (comptage A) dans locaux sécurisés.
  2. Scan des supports (option) > étape 7 ci dessous puis
      1. Traitement support digitaux ci dessous à partir de étape 2
  3. Séparation et distribution vers opérateurs des lots.
  4. Saisie & traitement (comptage B).
  5. Archivage des bases de données intermédiaires (chaque lot) et de la base de données générale compilée sur serveur sécurisé par login et mot de passe.
  6. Récupération des supports après traitement
  7. Sauvegarde des supports dans piece sécurisée suivant le délai de stockage établi préalablement.
  8. Livraison de la base de données générale compilée sur SFTP sécurisé selon fréquence définie à l’avance.
  9. Destruction des supports papiers par déchiqueteur à coupe croisée, effacement définitif des bases de données intermédiaires et archive de la base générale compilée par chef de projet (comptage C) suivant délai de destruction après livraison établi préalablement.

Support digitaux :

  1. Reception sur SFTP sécurisé par login / pass par chef de projet dédié (comptage A).
  2. Séparation et distribution vers opérateurs des lots à traiter.
  3. Saisie & traitement (comptage B).
  4. Archivage des bases de données (chaque lot) et de la base de données générale  sur serveur sécurisé par mot de passe.
  5. Livraison de la base de données compilée sur SFTP sécurisé selon fréquence définie à l’avance.
  6. Destruction des supports digitaux, des bases de données intermédiaires et archive de la base générale compilée par chef de projet (comptage C) suivant délai de destruction après livraison établi préalablement.

Accès back office à distance :

  1. Reception des login/pass nécessaires par SFTP sécurisé vers un chef de projet dédié.
  2. En option : établissement d’un tunnel, liaison sécurisée VPN vers back office du donneur d’ordre avec IP’s sécurisées et autorisées.
  3. Distribution des login/pass unitaire vers opérateurs via un module de sauvegarde mot clé (last pass) dont le login/pass maitre n’est pas connu des opérateurs (impossibilité de connaitre les login/pass sans ce login/pass maitre)
  4. Saisie & traitement.
  5. Changement du login/pass maitre toutes les semaines
  6. Effacement de la base login/pass maitre après traitement finaux 

Sécurité de l’environnement

Sécurité des locaux

  • Business Park Plovdiv : Grade A, sécurité assurée par des vigiles 24X24 365X365
  • Caméras de surveillance
  • Carte d’accès pour chaque employé
  • Matériel Anti incendie

Sécurité des serveurs

  • Séparation des serveurs online et serveur offline de stockage
  • Stockage a froid aucune entrée internet directe sur serveur de stockage des bases de données
  • Admin par user/pass sécurisé (directeur technique)
  • Firewall matériel dernière génération
  • Surveillance de logs une fois par jour
  • Antivirus et malware dernière génération
  • Triple disque durs SSD RAID sans accès direct

Sécurité des postes de travail

Chaque station de travail n’a aucun système de sauvegarde (pas de disque dur, port USB bloqué) tout le traitement est sauvegardé sur les serveurs de stockage.

Continuité de l’activité en cas de coupure assurée par un groupe électrogène dans le bâtiment.

Nos normes

ISO 9001:2015

ISO 27001:2013

ISO 14001:2015

CMSP (Cisco Cloud and Managed Services Program) certified

Nos mesures de sécurité organisationnelles.

  • Sensibilisation de tous nos opérateurs et opératrices de saisie sur la loi RGPD (GDPR) avec une charte informatique faisant partie du règlement intérieur.
  • Signature d’un engagement de confidentialité pour chaque personne à vocation de manipuler des données à caractère personnel.

La charte est un rappel :

  • Des règles de protection des données et des sanctions encourues en cas de non respect de celles-ci.
  • Des modalités d’intervention des équipes chargées de la gestion des ressources informatiques.
  • Des moyens d’authentification utilisés.
  • Des règles de sécurité auxquelles les utilisateurs doivent se conformer
  • Des modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition : postes de travail, les équipements nomades, les espaces de stockage individuel, les réseau locaux, les conditions d’utilisation des dispositifs personnels, l’Internet, la messagerie électronique et la téléphonie.
  • Les conditions d’administration du système d’information, et l’existence, le cas échéant, de systèmes automatiques de filtrage, systèmes automatiques de traçabilité et gestion du poste de travail.

Notre société propose la saisie de documents sous un mode sécurisé, compatible avec la loi GDRP.

Stephan Oworkers

15 years experiences in managing multi outsourcing processes in different countries.

This entry has 0 replies

Comments open

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>