Evolubat et RGPD

De quoi s’agit-il ?

Le Règlement Général sur la Protection des Données est une réglementation européenne qui vise à garantir la protection des données personnelles de tous les citoyens européens, dans l’Union Européenne et hors l’Union Européenne.

Il s’impose à tous les acteurs (entreprises, institutions, associations) qui collectent, stockent et traitent des données personnelles concernant des citoyens européens.

Cette réglementation complète et remplace les règles déjà existantes en France et soumises au contrôle de la Commission Nationale Informatique et Libertés.

Cette réglementation entre en vigueur le 25 mai 2018.

Les données personnelles doivent être :

  • traitées de manière licite, loyale et transparente au regard de la personne concernée : les personnes doivent être informées des traitements qui utilisent leurs données personnelles
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités,
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
  • exactes et, si nécessaire, tenues à jour
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
  • traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Le choix des actions à mettre en œuvre doit résulter d’une analyse concernant :

  • le volume des données collectées et traitées
  • la sensibilité des données
  • le besoin lié à l’activité de l’entreprise.

Il est nécessaire de mettre en place les protections adaptées, et notamment de se prémunir contre les intrusions et autres piratages des systèmes d’information.

Que faut-il mettre en place dans votre entreprise ?

  • Cartographier les applications et flux de données
  • Identifier les données personnelles et les processus associés
  • Identifier les risques et les actions correctives
  • Prouver que l’on ait besoin (ou non) d’un DPO
  • Tenir un registre

La CNIL édite plusieurs guides pour mettre en place le RGPD dans votre entreprise, et des sociétés spécialisées peuvent vous conseiller dans ce domaine. Votre expert-comptable ou votre conseiller juridique peuvent également être de bon conseil.

Comment Evolubat va s’adapter ?

Evolubat permet de collecter des données personnelles :

  • pour les salariés (numéro de téléphone, adresse mail, mot de passe, contrat)
  • pour les clients et leurs contacts (adresse, numéros de téléphone et fax, adresse mail, login et mot de passe pour Evoweb…)
  • pour les fournisseurs et leurs contacts (idem).

En fonction de votre utilisation du système, des données peuvent également être stockées dans des zones de commentaire.

Sauf cas particulier, il ne s’agit pas de données sensibles (pas de données relatives à la religion, à la santé, à la situation familiale, à la situation financière).

 

Afin de vous permettre d’appliquer au mieux la réglementation européenne avec Evolubat, quelques évolutions vont être réalisées :

  • possibilité de stocker le consentement des personnes au stockage et à l’utilisation de leurs données personnelles
  • possibilité de supprimer automatiquement les données personnelles à l’issue d’un délai paramétrable (par exemple, pour les clients qui n’ont pas acheté depuis X années)
  • chiffrement des données sensibles au niveau de la base de données
  • meilleure gestion de la confidentialité des mots de passe dans l’application.

Ces évolutions vont être développées d’ici la fin du premier semestre 2018, et nécessiteront une mise à jour d’Evolubat.

 

Par ailleurs, nous allons faire évoluer nos procédures internes :

  • pour permettre de corriger des anomalies, nous avons parfois besoin de récupérer sur nos serveurs une copie de votre base de données. Dans ce cas, sauf si les données sont nécessaires pour trouver l’origine du problème, nous supprimerons systématiquement les données personnelles stockées dans la copie de base
  • nous réfléchissons à une méthode qui vous permette d’identifier que votre interlocuteur est bien un employé de Gimel-Lavergne quand une personne au téléphone vous demande de prendre la main sur un ordinateur de votre entreprise.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *