APAVE_RGPD_FR

MAÎTRISE DES RISQUES NUMÉRIQUES

Guide des bonnes pratiques de la protection des données personnelles et stratégiques

Depuis plus de 150 ans, Apave accompagne l’ensemble des organisations, publiques ou privées, à développer leur maîtrise des risques humains, techniques et environnementaux. Aujourd’hui, la maîtrise des risques numériques entre dans le champ de compétences du groupe international, avec la création de l’entité Apave Digital, unique « tiers de confiance digital ».

Retour à ce sujet sur l’interview de Philippe Maillard, Directeur Général du Groupe Apave, en septembre dernier :

Aufil des années, nous avons accompagné nos clients dans l’évolution de leurs activités et des risques associés, qu’ils soient techniques, humains, puis environnementaux et aujourd’hui numériques. Ces nouveaux risques nécessitent des expertises en cybersécurité et protection des données, combinées à une connaissance des modalités de mise en œuvre à travers des tests d’intrusion, des formations spécifiques, des démarches de conseils ou d’accompagnement à la labellisation ou la certification, ou de certification uniquement. Déjà testée et approuvée par plusieurs clients, je crois en la pertinence et valeur ajoutée de cette nouvelle gamme d’offres et en l’avenir prometteur de notre entité Apave Digital.

L’ambition affichée est de vouloir aider nos clients à développer leurs activités en lien avec les innovations et les avancées technologiques en toute sécurité, ainsi qu’à les soutenir dans le déploiement de leur politique de protection des données personnelles et stratégiques. Toutes les organisations sont concernées par le Règlement Général sur la Protection des Données. Quels que soient leurs types (entreprises de tout secteur et de toute taille, administrations ou bien associations), elles traitent des données à caractère personnel dans le cadre de leurs activités.

Se protéger des risques numériques ? Oui mais comment ?

L’ère des informations numériques, l’avènement des nouvelles technologies et l’accélération des transformations digitales dans lesquelles vous évoluez aujourd’hui, vous imposent de déployer des plans d’actions adéquats et efficients pour assurer la confidentialité des données collectées ainsi que d’empêcher leur vol/divulgation à des tiers indésirables. De fait, les risques numériques représentent un réel danger, et tout particulièrement pour les petites organisations qui n’ont pas forcément, encore, mesuré l’ampleur des menaces potentielles et des risques encourus. Contrer ces risques devient alors une priorité pour chaque dirigeant afin :

- d’être en mesure de poursuivre son activité en toute sécurité,

- d’afficher une crédibilité sans faille, auprès de ses clients et partenaires, dans son fonctionnement opérationnel,

- enfin d’asseoir la performance économique de son entreprise.

Votre enjeu : la protection des données de vos salariés, clients et partenaires au cœur de vos préoccupations

Les experts Apave mettent leurs compétences à votre service pour vous accompagner dans la maîtrise de vos risques numériques. Ils vous aident à respecter la réglementation en vigueur sur la protection générale des données personnelles et à mettre en sécurité vos données stratégiques. Ils vous permettent également de valoriser votre engagement afin de conserver la confiance de vos tiers.

La confidentialité, la transparence et la sécurité sont les maîtres-mots pour qui collecte et traite des informations dans le cadre de ses activités.

Bonne lecture !

Laurent Zeitoun, Directeur Protection des Données

Édito

Le cadre juridique

Le cadre réglementaire européen

La définition des données personnelles

Le périmètre des données stratégiques

Les principes fondamentaux de la protection des données

Quel accompagnement pour protéger l’ensemble de vos données ?

Le traitement des données à caractère personnel et stratégique

La responsabilité du dirigeant

Les risques encourus en cas de non-respect du RGPD

La désignation du Délégué à la Protection des Données (DPO)

La mise en place de votre stratégie de protection des données

Les démarches d’amélioration continue de votre conformité au RGPD

Liste des bonnes pratiques propre aux petites organisations pour maîtriser les enjeux du RGPD

p.14 p.15 p.16 p.18

01

Le cadre juridique

LE CADRE RÉGLEMENTAIRE EUROPÉEN

La loi Informatique et Libertés de la Commission Nationale de l’Informatique et des Libertés (CNIL) du 6 janvier 1978 a été renforcée avec la parution du règlement européen du 27 avril 2016, dit Règlement Général de Protection des Données - RGPD. Ce nouveau règlement européen, entré en application le 25 mai 2018, régit désormais la réglementation en vigueur requise pour collecter les données personnelles, et ce pour l’ensemble des états membres.

Son objectif est de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des personnes dont les données sont traitées. Il vise à protéger les données personnelles depuis leur collecte (qu’elle soit papier ou numérique) jusqu’à leur suppression.

Le RGPD concerne particulièrement les directions et services RH, marketing, commercial et informatique, quels que soient leur effectif et leur secteur.

Son impact se veut massif et dissuasif pour que les données des résidents des états membres soient protégées.

Apave Digital vous accompagne, grâce à son offre différenciante, à respecter ce règlement et à lever les non-conformités pour garder la confiance de vos tiers. Mesurer l’efficacité et la fiabilité de votre politique de protection des données, et dresser un état des lieux précis sur votre situation actuelle avec notre auto-diagnostic RGPD

LA DÉFINITION DES DONNÉES PERSONNELLES

Les données personnelles concernent l’ensemble des informations relatives à une personne.

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise (CNIL).

LA DÉFINITION DES DONNÉES PERSONNELLES

Il existe différentes catégories de données personnelles qui couvrent les éléments répertoriés ci-dessous (liste non exhaustive) :

9les données relatives à l’identité (nom, prénom, adresse, photo, date et lieu de naissance…)

9les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale...)

9les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail…)

9les informations économiques (revenus, impôts, données bancaires, droits sociaux, situation financière...)

9les données de localisation (coordonnées GPS, géolocalisation véhicule ou téléphone, badges bâtiments, télépéages, adresse IP…)

9les données judiciaires (casier judiciaire)

9les données de connexion (cookies)

9les données sensibles selon la définition de la CNIL : « information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes ». On peut ajouter les données relatives aux condamnations pénales ou aux infractions, les données biométriques et génétiques, ou encore le numéro de sécurité sociale (NIR).

En principe ces données sensibles ne peuvent pas être recueillies sauf si vos activités le nécessitent comme par exemple dans le domaine médical.

LE PÉRIMÈTRE DES DONNÉES STRATÉGIQUES

Les données stratégiques ne font pas l’objet de mention légale stricto sensu mais nous pouvons les définir comme celles qui, si divulguées ou altérées, pourraient porter atteinte à l’intégrité et à la sécurité de votre organisation

La valeur de ces données stratégiques porte autant sur leur intérêt pour la survie de l’organisation que sur leur aspect financier.

Sont concernées par exemple (liste non exhaustive) :

9les données commerciales (les bases de données, les fichiers clients, les contrats, factures de vos clients, les formulaires de contact)

9les données économiques (les données confidentielles de vos clients pour lesquels vous avez élaboré des tableaux de bord, des reportings, des KPIS…)

9les données industrielles (les brevets, les savoir-faire, les compositions de produits…)

9les process d’organisation de vos clients (espace client), voire les vôtres

9les mots de passe des ordinateurs de vos collaborateurs

9les codes d’accès à vos établissements ou à certaines zones

LES PRINCIPES FONDAMENTAUX

DE LA PROTECTION DES DONNÉES

Le RGPD suppose le respect de trois principes fondamentaux qui forment le socle de cette législation européenne :

la transparence sur les données recueillies avec, en amont, le consentement approuvé, et sur leur utilisation

la confiance pour protéger les droits de la personne dont les informations ont été collectées

la sécurisation des données pour qu’elles ne soient jamais divulguées à des tiers ou volées

Le Privacy by Design, ou le respect de la vie privée dès la conception, a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. Cette préoccupation doit être constante pour chaque nouveau projet, produit ou activité.

Le RGPD impose donc de prendre des mesures de sécurité organisationnelles et techniques appropriées et les exigences intangibles sont :

la tenue d’un registre des activités de traitement de données (article 30 du RGPD), obligatoire pour toutes les organisations, en format papier ou numérique.

Ce registre recense et permet de disposer d’une vue d’ensemble du traitement des données personnelles qui sont confiées à chaque organisme. Il doit aussi être vu comme un véritable outil de pilotage pour l’organisme car il permet d’identifier :

les acteurs qui traitent des données au sein de l’organisme

les catégories de données traitées

l’objectif du traitement des données

la durée de conservation des données

les méthodes de sécurisation des données

les catégories de destinataires internes et externes

DPO

la désignation d’un Délégué à Protection des Données ou Data Protection Officer en anglais (DPO) qui veille au respect des obligations du RGPD au sein de l’organisation à laquelle il appartient.

Les mutations technologiques et la transition numérique accélèrent le nombre de données ingérées et la préoccupation de leur traitement devient un point d’attention crucial pour toute organisation.

Votre politique de protection des données doit signifier votre engagement en faveur du RGPD.

Apave vous accompagne à évaluer votre conformité au RGPD

Diagnostic de conformité au RGPD pour bénéficier d’un plan d’actions personnalisé

02

Votre politique de protection des données

En matière de RGPD, il convient de, systématiquement, respecter les droits de la personne physique mais aussi d’assoir sa relation de confiance avec un tiers par une éthique et une conscience responsable pour lutter contre tout abus. Dans le cas contraire, des sanctions sont appliquées.

LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET STRATÉGIQUE

Le traitement des données suppose plusieurs étapes, qui toutes, sont encadrées par le Règlement Général de Protection des Données (RGPD) dans le seul but de protéger et sécuriser les données collectées

COLLECTE

Ne collecter que les données nécessaires aux finalités déterminées, explicites et légitimes déclarées.

LA MODALITÉ DE LEUR COLLECTE

numérique ou papier avec la contrainte de ne prélever que les informations personnelles strictement nécessaires à l’objectif déterminé de la collecte

L’HÉBERGEMENT/STOCKAGE DES DONNÉES COLLECTÉES

suppose la mise en place d’un système ou d’une organisation fiable pour maintenir la confidentialité des informations recueillies et agir contre tout accès, toute modification, divulgation ou destruction non autorisés des données stockées

LA FINALITÉ POURSUIVIE DE LA COLLECTE

6 bases légales définissent l’utilisation de la donnée collectée :

• obligation légale (certaines collectes et traitements de données par les Ressources Humaines)

• contrat (salaire par exemple)

• mission d’intérêt public (traitements mis en œuvre par les autorités publiques aux fins d’exécuter leurs missions)

• sauvegarde des intérêts vitaux (SAMU)

• intérêt légitime (sécurité du système d’information)

• au-delà des cas précités : obligation de demander le consentement de la personne concernée et de lui expliquer les motivations (prospection commerciale B2C)

Votre politique de protection des données

LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET STRATÉGIQUE

TRAITEMENT DE LA DONNÉE

Une fois la donnée collectée, s’applique le respect des principes de sécurité pour son utilisation (pour un contrat par exemple) puis de sa conservation un temps donné.

9Données traitées pour le motif de la collecte.

CONSERVATION / SUPPRESSION

Une fois la donnée collectée, s’applique le respect des principes de sécurité pour son utilisation (pour un contrat par exemple) puis de sa conservation un temps donné.

LA CONSERVATION DES DONNÉES toute donnée collectée a une durée de vie en fonction de l’objectif final. Le RGPD ou d’autres règlements détaillent les durées de conservation spécifiques à une activité

L’ ARCHIVAGE DES DONNÉES étape intermédiaire avant la suppression

L’ ARCHIVAGE DÉFINITIF (comme dans les administrations) OU LA SUPPRESSION DÉFINITIVE

l’hébergement des données peut se faire soit en interne soit auprès de fournisseurs de services

QUELQUES EXEMPLES DE DURÉE DE VIE DES DONNÉES

• Un prospect sans activité : 3 ans

Consentement

• CV : 2 ans

Consentement

• Prise en charge des patients par les établissements de santé (dossier patient) : 20 ans (en vertu de l’article R. 1112-7 du Code de la santé publique)

Obligation légale

• Effectuer des opérations relatives à la prospection d’un client par courriel : 3 ans à compter du début de la relation commerciale

Intérêt légitime

CORESPONSABILITÉ DES SOUS-TRAITANTS

Il est de votre responsabilité de s’assurer que vos sous-traitants respectent les mêmes obligations et présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de sorte que le traitement de données personnelles réponde aux exigences de la réglementation en vigueur. Un accord portant sur la sous-traitance de données à caractère personnel doit être alors formellement conclu.

LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET STRATÉGIQUE

DROIT DES PERSONNES

Le RGPD prévoit que chacun puisse exercer ses droits d’accès, de rectification, de limitation, d’opposition, de suppression et de portabilité.

• Droit de suppression des données : prévu dans le RGPD pour respecter la liberté de la personne concernée.

Il est à noter qu’il existe des cas où ce droit ne peut être exercé (contrat en cours...).

• Droit à l’information du traitement des données de façon claire, loyale et transparente.

• Droit d’accès aux données transmises : la personne concernée peut obtenir la confirmation que ses données sont traitées ou non, les finalités du traitement, le destinataire des données, le transfert éventuel de celles-ci ainsi qu’une copie desdites données.

• Droit de rectification des données inexactes ou incomplètes : la personne concernée peut obtenir la rectification de ses données si celles-ci s’avèrent être erronées ou inexactes.

• Droit d’opposition à certains traitements notamment ceux ayant pour finalité la prospection commerciale.

• Droit de retrait du consentement à un traitement de données, sans que les effets de ce retrait soient rétroactifs.

• Droit d’effacement des données faisant l’objet d’un traitement illicite : la personne concernée dispose d’un droit à l’oubli seulement lorsque le traitement de ses données ne concerne pas l’exécution du contrat et ledit contrat a été résilié.

Pour les données traitées dans le cadre d’un traitement soumis à un consentement, elles doivent être supprimées dès le retrait du consentement.

• Droit à la portabilité permet de recevoir dans un format utilisable les données reçues afin de les transmettre à un autre prestataire. La portabilité des données ne s’exerce que sur les données concernant la personne, sur les données transmises directement, et uniquement si le traitement est fondé sur le consentement ou le contrat.

• Droit à la limitation du traitement après avoir constaté l’inexactitude des données utilisées.

• Droit de donner des directives relatives à la conservation, à l’effacement et à la communication des données après décès.

Pour mémoire l’ensemble de ces informations doivent être consignées dans le registre des activités de traitement des données.

Maîtriser les données personnelles au sein de votre organisation Construire étape par étape votre politique de protection de données

Votre politique de protection des données

LA RESPONSABILITÉ DU DIRIGEANT

Le risque numérique réside au cœur des préoccupations des organisations et de leurs dirigeants. Au même titre que la gestion des risques humains, techniques et environnementaux, il s’agit désormais de développer une politique de gestion des risques numériques

L’accélération de notre monde de plus en plus numérisé représente ainsi une multiplication de ces menaces, avec des enjeux variés pour les dirigeants d’entreprises pour faire de la confiance digitale un nouveau levier de maîtrise des risques.

Enjeu de pérennité et de maîtrise des risques : anticiper et prévenir les impacts potentiels en cas d’attaque ou de vol de données par exemple, afin d’assurer la pérennité de votre entreprise.

Enjeu d’amélioration de la performance : avec des outils et des processus de plus en plus digitalisés, personnalisés et performants.

Enjeu de conformité : des réglementations de plus en plus en strictes en matière de protection des données et qui seront amenées à se durcir dans les années à venir, notamment en cybersécurité.

Enjeu d’image et de notoriété : auprès de vos clients, fournisseurs et partenaires.

Enjeu d’exigence : envers vos clients et donneurs d’ordre pour prétendre répondre à la commande publique.

Votre responsabilité est engagée dans la mesure où vous devez assurer :

la sécurité

la confidentialité des données

l’intégrité la disponibilité

et l’authenticité des données collectées et traitées

au regard de vos sites internet, applications mobiles ou commerces de proximité.

Découvrir notre formation

Formation des dirigeants et managers aux enjeux de la protection des données

Votre politique de protection des données

LES RISQUES ENCOURUS EN CAS DE NON-RESPECT DU RGPD

9Les premières sanctions, faisant suite à des plaintes ou des contrôles, ont trait à des injonctions de mise en conformité, à des mises en demeure ou à des conséquences juridiques sur votre organisation.

9Mais les principales sanctions concernent les pénalités financières avec les amendes de la CNIL, autorité de contrôle française chargée de la protection des données, qui peuvent atteindre :

jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires consolidé du groupe.

Et les chiffres clés reportés par la CNIL sur la sécurité des données en 2021 donnent le vertige et pointent avec force la nécessité absolue d’encadrer étroitement la protection des données.

Réduction

Chiffres clés 2021 sur la sécurité des données en France

des

Source : CNIL : Présentation du rapport d’activité 2021 et des enjeux 2022

Votre politique de protection des données

LES RISQUES ENCOURUS EN CAS DE NON-RESPECT DU RGPD

9Concomitantes à ces sanctions, se greffent la perte de confiance et la dévalorisation de votre entreprise auprès de vos clients, partenaires et collaborateurs, difficiles à restaurer sur le court terme.

9Enfin la responsabilité pénale du dirigeant peut être engagée si des pertes, vols ou fuites de données sont susceptibles d’engendrer un risque pour les droits des personnes mais encore si des malversations sont avérées.

Vous engager en faveur du RGPD

Comprendre le RGPD et ses impacts

Le groupe Apave vous propose un accompagnement accessible et progressif pour protéger vos données et :

Vous expliquer la réglementation et vous informer de son évolution

Vous faire prendre conscience des enjeux associés

Évaluer votre niveau de conformité au RGPD

Vous accompagner dans votre mise en conformité

Valoriser votre démarche aurprès de vos parties prenantes

Apave propose une solution clé en main, dédiée aux TPE PME, pour vous mettre en conformité au RGPD

Réussir votre mise en conformité avec une solution spécifique à votre organisation.

Quel accompagnement pour protéger l’ensemble de vos données ?

Dans le cadre de vos activités, vous êtes amenés à traiter des données à caractère personnel, soumises au RGPD, et des données stratégiques.

Apave, acteur de la maîtrise des risques, vous propose une offre d’évaluation complète afin de prévenir les risques de modification, divulgation, perte ou vol de données au sein de votre structure

LA DÉSIGNATION DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

Le Délégué à la Protection des Données (DPD), aussi appelé Data Protection Officer (DPO en anglais), est le pilote de la mise en conformité au RGPD et le garant du respect des obligations liées au RGPD.

La désignation d’un DPO est d’ailleurs nécessaire dans le cadre de réponses aux marchés publics.

Le recours à un DPO est obligatoire dans 3 cas mais recommandé dans tous les autres : pour les autorités et organismes publics, pour les organismes dont les activités donnent lieu à du traitement de masse, systématique, régulier et important d’informations sur un grand nombre de personnes et permettant une segmentation, scoring et profilage (banques, sociétés d’assurance, grande distribution, tourisme…), pour les organismes qui traitent des données personnelles sensibles, qui touchent à l’intégrité physique (données biométriques, génétiques, sur la santé, l’orientation sexuelle, l’origine ethnique, infractions et condamnations pénales…).

Le DPO peut être un salarié interne de l’entreprise ou bien un prestataire externe. En cas de violation des données personnelles, le DPO doit notifier la violation à la CNIL dans les 72 heures après en avoir pris connaissance et prévenir en parallèle la personne concernée.

Quel accompagnement pour protéger l’ensemble de vos données ?

Certification de compétences DPO

Le groupe Apave, 2ème organisme de formation à certifier le DPO, a toute sa légitimité pour certifier votre DPO à travers sa formation Préparation à l’examen de certification DPO À la réussite de l’examen, un certificat de compétences du DPO, conformément au référentiel de la CNIL, est délivré par notre filiale Apave Certification.

LA MISE EN PLACE DE VOTRE STRATÉGIE DE PROTECTION DES DONNÉES

Apave vous apporte son expertise à la mise en œuvre du RGPD, selon les 7 phases de la méthodologie de la Commission Nationale de l’Informatique et des Libertés – CNIL, avec un plan d’actions adapté, et vous préconise les mesures correctives adéquates

1-DÉSIGNATION DU PILOTE DPO

• Séminaire de direction

7-PILOTAGE

• Gestion du projet

• Gestion du changement

• Communication

6-STRUCTURATION DE LA DOCUMENTATION DE LA CONFORMITÉ

• Référentiel documentaire lié au RGPD

• Gestion documentaire

5-ORGANISATION DE LA CONFORMITÉ

• Définition du projet d’entreprise

2-CARTOGRAPHIE

• Méthodologie et outils de recensement des traitements de données

• Diagnostic de conformité RGPD Lien URL

PHASES DE LA CNIL

7

• Définition de l’organisation RGPD, des processus internes, des outils

• Déclinaison dans chaque direction

3-PRIORISATION DES ACTIONS

• Cotation du risque & priorisation

• Feuille de route

4-GESTION DES RISQUES

• Déclinaison dans chaque direction

• Soutien aux plans d’actions

Apave vous guide à votre mise en conformité RGPD avec des intervenants experts

RGPD

Prestation mise en œuvre du RGPD selon la méthodologie CNIL

Quel accompagnement pour protéger l’ensemble de vos données ?

VOTRE POLITIQUE SUR LA GESTION DES COOKIES

La plupart des sites recourent à l’usage des cookies lors des consultations. Fichier informatique, le cookie, stocké sur le disque dur de l’utilisateur, lui rappelle une précédente visite sur un site internet et contribue à lui afficher des publicités et contenus personnalisés. Mettre en place une politique de collecte et de gestion des cookies permet à l’utilisateur de gérer son consentement et ses préférences.

Réaliser un audit de conformité RGPD de votre site web !

LES DÉMARCHES D’AMÉLIORATION CONTINUE DE VOTRE CONFORMITÉ AU RGPD

La formation pour créer une culture de protection des donnés au sein de l’entreprise et garantir la conformité réglementaire

Pour sensibiliser vos équipes à la réglementation sur les données personnelles et stratégiques, le groupe Apave décline différentes formations, toutes animées par des intervenants experts RGPD.

• une formation dédiée aux dirigeants et managers pour comprendre les enjeux de la protection des données personnelles et stratégiques. En format e-learning, elle vous offre la possibilité de vous former à distance grâce à une plateforme numérique et des outils technologiques novateurs. Vous avancez à votre rythme, en fonction de vos disponibilités et en toute autonomie. Disponible également en présentiel et en classe virtuelle.

• une formation dédiée aux salariés pour assimiler les bonnes pratiques au quotidien dans vos structures, disponible aux formats présentiels, e-learning et classe virtuelle.

Sensibiliser chaque collaborateur, chaque maillon de la chaîne garantira la pleine et entière conformité au RGPD dans la durée et vous assurera la légitimité et la confiance digitale auprès de vos tiers. Les formations proposées par Apave répondent aux exigences du RGPD.

Bénéficier de l’accompagnement global Apave pour accélérer votre transition aux risques numériques et accroître votre confiance digitale

Quel accompagnement pour protéger l’ensemble de vos données ?

LES DÉMARCHES D’AMÉLIORATION CONTINUE DE VOTRE CONFORMITÉ AU RGPD

La certification pour valoriser votre démarche à long terme

Apave Certification, organisme de certification de compétences, de services, de produits et de systèmes de management vous accompagne dans vos démarches de certification qu’elles soient volontaires ou réglementaires. S’appuyant sur un réseau d’auditeurs et de laboratoires qualifiés, Apave Certification intervient en France comme à l’international. Obtenir une certification valorise vos démarches auprès de l’ensemble de vos parties prenantes.

• La certification de compétences du DPO évalue les compétences et savoir-faire des DPO en se référant aux 17 compétences et savoir-faire exigés et attendus par la Commission Nationale de I’informatique et des Libertés. Apave Certification est agréée par la CNIL et délivre une certification des compétences du DPO, conforme au référentiel de certification de la CNIL.

• La certification du DPO dans le domaine de la santé s’adresse à un public de professionnels de la protection des données, spécialisés dans le domaine de la santé ou se préparant à travailler dans ce domaine. Démarche volontaire ayant pour objectif de valider l’expertise des DPO travaillant dans le secteur spécifique de la santé. Proposer une telle certification permet de professionnaliser le secteur et d’identifier les compétences spécialisées qui répondent aux problématiques spécifiques du secteur de la santé.

• La certification volontaire ISO 27001, relative au Management de la sécurité des systèmes d’information, répond aux objectifs des organisations en termes de protection de leurs informations, des exigences clients et des parties intéressées, du respect de la réglementation RGPD.

Dans le contexte actuel d’augmentation des risques de perte ou de fuite de données, et au travers d’une méthodologie éprouvée, la certification ISO 27001 vous permet d’établir un système de management de la sécurité des systèmes d’information. Et prouve l’importance que vous accordez à la sécurité des données et de l’information dans votre établissement.

L’auditeur s’attache notamment à examiner, avec vous, votre analyse de risque, au travers du triptyque « Confidentialité, Intégrité, Disponibilité des données ». La mise en œuvre des mesures de sécurité, le volet le plus opérationnel de la certification, est ensuite audité. La validité du certificat délivré est de 3 ans.

• La certification des prestataires de formation à la protection des données à caractère personnel est une certification basée sur le référentiel de la CNIL. Il s’agit d’un mécanisme volontaire permettant aux organismes de formation de justifier que leur prestation s’inscrit dans une logique de conformité au RGPD et à la loi Informatique et Libertés. Il concerne les prestataires de formation qui souhaitent valoriser le contenu de leur formation en protection des données personnelles, en vue de démontrer leur conformité avec les exigences de la CNIL.

Le référentiel de certification comporte près d’une trentaine de critères ayant pour objectif de démontrer la qualification du prestataire de formation à la protection des données.

La durée de validité du certificat est de 3 ans et a pour avantage que son cycle de certification soit compatible avec la certification Qualiopi.

Liste des bonnes pratiques propre aux petites organisations pour maîtriser les enjeux du RGPD

Les actions prioritaires à déployer

Désigner un pilote (DPO)

Dresser un état des lieux de votre conformité

Réaliser un audit de conformité de votre site web

Former vos dirigeants, managers et collaborateurs

Mettre en place votre stratégie de protection des données

Assurer la transparence lors de la collecte des données

Sécuriser la conservation de vos données

Maintenir la confiance Certifier votre DPO

CONCLUSION

Toute organisation, à travers l’Europe, doit impérativement, aujourd’hui, assurer la conformité et la protection de ses données personnelles et stratégiques. Nul ne peut s’affranchir du Règlement de Protection des Données Personnelles en vigueur.

En synergie avec les transitions numériques et leurs risques associés, la gestion des données est au cœur même des politiques stratégiques et des plans d’actions opérationnels au sein de chaque structure.

Garantir la protection de ces données apparaît comme l’un des défis majeurs à relever pour leurs dirigeants.

APAVE ET LA MAÎTRISE DU RISQUE NUMÉRIQUE ?

Une offre globale structurée depuis 2021 par l’acquisition de plusieurs entités expertes en data et cybersécurité.

Apave est aujourd’hui le seul acteur tiers de confiance Digital à disposer au sein même dune entité de toutes les compétences expertes en numérique, au service de ses clients.

Filiale

Certification des systèmes de management, services, produits et labels

Entités spécialisées

Services et produits DataScience intégrant les données, de l’IA et de la datavisualisation

Prestations d’expertise, d’évaluation et de conseil pour maîtriser vos risques numériques et assurer votre cybersécurité Organisme d’évaluation et certification de la conformité en cybersécurité

NOTRE RAISON D’ÊTRE

« AGIR EN ACTEUR DE CONFIANCE POUR UN MONDE PLUS SÛR, DURABLE ET PORTEUR DE PROGRÈS PARTAGÉ »

Faites le 1er pas avec notre autodiagnostic gratuit

Téléchargez notre guide Dirigeants de TPE-PME : Mode d’emploi de votre cyberprotection

Nous contacter 0805 62 5000 contact-client@apave.com france.apave.com