Salesforce Trust


Règlement général sur la protection des données (RGPD)

À compter du 25 mai 2018

Comment préparer la conformité au règlement RGPD

Le 25 mai 2018, une nouvelle loi appelée Règlement général sur la protection des données (RGPD) entrera en vigueur dans l'Union européenne (UE). Le règlement RGPD élargit les lois relatives au respect de la vie privée des personnes physiques dans l'UE et impose de nouvelles obligations à toutes les organisations qui commercialisent, suivent ou traitent les données à caractère personnel de l'UE. Salesforce est déterminée à aider ses clients à respecter le règlement RGPD avec à ses dispositifs robustes de protection de la confidentialité et de la sécurité.

Je suis un client(e) de Salesforce, comment puis-je préparer la conformité au règlement RGPD ? 
Toutes les informations nécessaires pour préparer la conformité à ce nouveau règlement sont présentées dans la page d'accueil RGPD.

EN SAVOIR PLUS

Principales dispositions du règlement RGPD

Qu'est-ce que le RGPD ?

Le RGPD est un nouveau règlement complet relatif à la protection des données à caractère personnel dans l'UE. Il actualise la législation en vigueur afin de renforcer la protection des données à caractère personnel pour l'adapter à l'évolution rapide des technologies, à la mondialisation croissante et à la complexité accrue des flux internationaux de données personnelles. Il remplace la mosaïque de lois nationales en vigueur portant sur la protection des données, par un ensemble unique de règles directement applicables dans chaque état membre de l'UE.

Le RGPD réglemente les opérations de traitement (notamment la collecte, le stockage, le transfert ou l'utilisation) des données à caractère personnel des personnes physiques de l'UE. Toute organisation qui traite les données de personnes de l'UE, y compris le suivi de leurs activités en ligne, relève du champ d'application du règlement, que l'organisation soit physiquement présente ou non dans l'Union européenne. Notez que dans le règlement RGPD, le concept de « données à caractère personnel » est large et couvre l'ensemble des informations se rapportant à une toute personne physique identifiée ou identifiable (également appelée « personne concernée »).

Quelles sont les mesures de sécurité à mettre en œuvre pour respecter ce nouveau règlement ?

Les organisations doivent mettre en œuvre des mesures de sécurité techniques et structurelles afin de protéger les données personnelles contre tout traitement non autorisé et contre la divulgation, l'ouverture, la perte, la destruction ou l'altération accidentelle. Selon le cas d'utilisation spécifique et les données personnelles traitées, le recours à la dissociation, au cryptage, à la pseudonymisation et à l'anonymisation des données est recommandé, et dans certains cas obligatoire, afin de protéger les données à caractère personnel.

Voici quelques suggestions de mesures que les organisations peuvent mettre en place pour protéger les données personnelles :

  • Cryptage : bien qu'il ne soit pas obligatoire, le règlement encourage un cryptage efficace afin de garantir la sécurité et la confidentialité des données à caractère personnel.
  • Pseudonymisation : le règlement RGPD encourage les organisations à utiliser la pseudonymisation en tant que mesure basée sur le risque afin de protéger la sécurité des données et les droits des personnes physiques.
  • Anonymisation : plus rigoureuse que la pseudonymisation, l'anonymisation des données est la méthode la plus efficace pour protéger les données à caractère personnel. Pour que les données soient considérées comme véritablement anonymes, aucun individu ne doit être en mesure de les identifier en utilisant un quelconque dispositif de traitement ou en combinant les données à d'autres informations.
  • Responsabilité : selon le règlement RGPD, un responsable du traitement des données doit mettre en œuvre des mesures afin de garantir le traitement des données qu'il contrôle en respectant les principes du RGPD. Ces principes exigent de désigner un délégué à la protection des données, d'imposer des obligations contractuelles aux sous-traitants, et d'utiliser les principes de « protection des données dès la conception » et de « protection des données par défaut ». En outre, un responsable du traitement doit être en mesure de démontrer le respect des exigences prévues par le règlement, notamment la tenue d'un registre des activités de traitement et la conduite d'une analyse d'impact relative à la protection des données.

     Il est important de noter que conformément au règlement RGPD, les responsables du traitement doivent signaler dans les meilleurs délais à leur autorité de protection des données, 72 heures au plus tard après en avoir pris connaissance, toute violation de données à caractère personnel, à moins que la violation ne soit susceptible d'entraîner un risque pour les droits et les libertés des personnes concernées. En cas de risque élevé, les responsables du traitement doivent signaler dès que possible aux personnes concernées les violations de données à caractère personnel. Les sous-traitants des données doivent également signaler dans les meilleurs délais aux responsables du traitement toute violation des données.
 
Trailhead

Principes de base du règlement relatif à la protection des données à caractère personnel de l'Union européenne

EN SAVOIR PLUS