Compatibilité RGPD de mes logiciels et applicatifs

23425687_l

Bien choisir vos solutions logicielles en mode licence ou service

Lorsque l’organisation est qualifiée de « responsable de traitement », c’est qu’elle décide de la finalité et des moyens à mettre en oeuvre pour les traitements de données personnelles, et cela à toutes les étapes de la collecte et du traitement des données et notamment le fait de recourir à des logiciels de gestion ou métiers pour conserver et utiliser ces données.

A ce titre, l’organisation est responsable du choix de ses sous-traitants au sens du RGPD, du fait qu’au moement du choix, elle doit s’assurer que le produit acheté ou le service souscrit respecte bien les principes de fonctionnement du RGPD et qu’en outre  ce sous traitant met aussi en place en interne ses propres mesures de sécurité organisationnelles et techniques afin d’assurer la protection et la confidentialité des données personnelles qui lui sont confiées en sa qualité de sous traitant, ne serait-ce simplement que pour de l’hébergement ou des sauvegardes.       

Nos prestations d’accompagnement

Audit et contrôle de conformité logicielle de vos applications informatiques 

Nous vous accompagnons pour interroger les éditeurs/intégrateurs sur la conformité de leurs solutions logicielles au regard des exigences de protection des données personnelles édictées par le RGPD (Privacy By Design et Privacy By Default). 

Lors de l’audit, nous vérifions que les principes et fonctionnalités attendues par le RGPD existent et qu’elles répondent bien aux exigences de traitement et de protection des données personnelles des personnes dans leur conception et avec un niveau de sécurité par défaut élevé (chiffrement des données, pseudonymisation, anonymisation, purge automatisée de données pour l’exercice du droit à l’oubli, portabilité des données, sécurité des accès renforcée, sécurisations des flux de transfert de données, cryptage des sauvegardes et limitation de leur conservation, etc…) 

Conduite d’études d’impact (PIA) liés aux outils informatiques 

Lorsqu’un risque élevé d’atteinte à la protection et à la confidentialité des données personnelles est identifié sur un traitement précis, une activité à risque au sens du RGPD, une étude d’impact (PIA en anglais) doit être menée, avant même la lancement du traitement ou sinon le traitement concerné doit être stoppé en attente des résultats de l’étude. Le RGPD le rend d’ailleurs obligatoire dans un certain nombre de cas, notamment les traitements portant sur des données personnelles dites « sensibles ». 

Nous vous accompagnons dans cette démarche, en relation avec vos prestataires et nos partenaires, pour coordonner les parties prenantes, identifier les menaces d’atteinte et de violation des données personnelles, évaluer la probabilité qu’un évènement se produise avec un impact important sur les personnes (taux de survenance et taux de gravité), ainsi que pour définir avec vous les mesures à mettre en oeuvre, tant organisationnelles que techniques, pour annuler ou minimiser le risque et ses conséquences.