ISMS Copilot
Référentiels pris en charge

Règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données (RGPD) est la loi complète de l'UE sur la confidentialité et la protection des données qui régit la manière dont les organisations collectent, traitent, stockent et protègent les données personnelles. En vigueur depuis le 25 mai 2018, le RGPD s'applique à toute organisation dans le monde qui traite des données personnelles de résidents de l'UE, établissant des exigences strictes et des sanctions importantes en cas de non-conformité.

ISMS Copilot possède des connaissances dédiées sur les exigences du RGPD. Vous pouvez poser des questions spécifiques au cadre, générer des politiques alignées sur les principes du RGPD et évaluer la conformité du traitement des données à l'aide de l'assistant IA.

Qui doit se conformer au RGPD ?

Le RGPD s'applique aux :

  • Organisations établies dans l'UE traitant des données à caractère personnel, quel que soit le lieu où le traitement a lieu

  • Organisations situées en dehors de l'UE proposant des biens ou des services à des résidents de l'UE ou surveillant leur comportement

  • Responsables du traitement : Entités déterminant les finalités et les moyens du traitement des données personnelles

  • Sous-traitants : Entités traitant des données personnelles pour le compte de responsables du traitement (fournisseurs, prestataires de services)

Les données personnelles incluent toute information relative à une personne identifiée ou identifiable (noms, adresses e-mail, adresses IP, données de localisation, identifiants en ligne, informations de santé, etc.).

Le RGPD a une portée extraterritoriale. Même si votre organisation est basée en dehors de l'UE, vous devez vous y conformer si vous traitez les données de résidents de l'UE.

Sept principes fondamentaux

Le RGPD établit sept principes fondamentaux de protection des données :

  1. Licéité, loyauté et transparence : Traiter les données de manière légale, loyale et transparente vis-à-vis de la personne concernée

  2. Limitation des finalités : Collecter des données uniquement pour des finalités spécifiées, explicites et légitimes

  3. Minimisation des données : Ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire

  4. Exactitude : S'assurer que les données personnelles sont exactes et tenues à jour

  5. Limitation de la conservation : Ne conserver les données sous une forme identifiable que le temps nécessaire

  6. Intégrité et confidentialité : Sécuriser les données contre le traitement non autorisé, la perte ou les dommages

  7. Responsabilité (Accountability) : Démontrer la conformité aux principes du RGPD

Exigences clés

Les organisations doivent mettre en œuvre plusieurs capacités obligatoires :

  • Base légale du traitement : Établir des motifs légaux (consentement, contrat, obligation légale, intérêt légitime, intérêt vital, mission de service public)

  • Avis de confidentialité : Fournir des informations claires et accessibles sur les activités de traitement des données

  • Respect des droits des personnes concernées : Permettre les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition

  • Gestion du consentement : Obtenir et documenter un consentement libre, spécifique, éclairé et univoque lorsque requis

  • Analyses d'impact relative à la protection des données (AIPD) : Réaliser des évaluations pour les activités de traitement à haut risque

  • Notification de violation de données : Signaler les violations aux autorités de contrôle dans les 72 heures et notifier les personnes concernées si nécessaire

  • Registres des activités de traitement : Tenir une documentation complète de tous les traitements de données

  • Protection des données dès la conception et par défaut : Mettre en œuvre des garanties de confidentialité dès le départ

  • Gestion des fournisseurs : Conclure des accords de traitement de données avec les sous-traitants et effectuer des audits de diligence raisonnable

Droits des personnes concernées

Le RGPD accorde aux individus des droits étendus sur leurs données personnelles :

  • Droit d'être informé : Informations claires sur le traitement des données

  • Droit d'accès : Obtenir la confirmation et des copies de leurs données

  • Droit de rectification : Corriger des données inexactes ou incomplètes

  • Droit à l'effacement (« droit à l'oubli ») : Demander la suppression dans certaines circonstances

  • Droit à la limitation du traitement : Limiter la manière dont les données sont utilisées

  • Droit à la portabilité des données : Recevoir les données dans un format structuré et couramment utilisé

  • Droit d’opposition : S'opposer au traitement basé sur des intérêts légitimes ou au marketing direct

  • Droits liés à la prise de décision automatisée : Contester des décisions uniquement automatisées ayant des effets juridiques ou significatifs

Les organisations doivent répondre aux demandes des personnes concernées dans un délai d'un mois.

Catégories particulières et transferts internationaux

Les catégories particulières de données (données sensibles comme la santé, la race, la religion, la biométrie) nécessitent des garanties supplémentaires et un consentement explicite ou une autre base légale spécifique.

Les transferts internationaux de données en dehors de l'UE/EEE nécessitent :

  • Une décision d'adéquation de la Commission européenne, OU

  • Des garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes), OU

  • Des dérogations spécifiques pour des situations exceptionnelles

Délégués à la protection des données (DPO)

Les organisations doivent nommer un DPO si elles :

  • Sont une autorité publique

  • Effectuent un suivi systématique à grande échelle

  • Traitent à grande échelle des catégories particulières de données

Le DPO conseille sur la conformité, surveille les activités de protection des données et sert de point de contact pour les autorités de contrôle.

Sanctions

Le RGPD impose des amendes administratives échelonnées :

  • Niveau inférieur (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial) : Violations des obligations du sous-traitant, des exigences du DPO ou des obligations de l'organisme de certification

  • Niveau supérieur (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial) : Violations des principes fondamentaux, des droits des personnes concernées, des règles de transfert international ou non-respect des injonctions d'une autorité de contrôle

Les amendes sont déterminées en fonction de la gravité, de la durée, de l'intention, des mesures d'atténuation et de la coopération avec les autorités.

Comment ISMS Copilot vous aide

ISMS Copilot offre un soutien complet pour la conformité au RGPD :

  • Conseils spécifiques au cadre : Posez des questions sur des articles, principes ou droits des personnes concernées spécifiques au RGPD

  • Génération de politiques : Créez des politiques de confidentialité prêtes pour l'audit, des politiques de rétention des données et des procédures relatives aux droits des personnes

  • Analyse des écarts : Téléchargez la documentation de confidentialité existante pour identifier les lacunes par rapport aux exigences du RGPD

  • Modèles d'AIPD : Générez des cadres d'analyse d'impact pour les traitements à haut risque

  • Registres de traitement : Créez des registres des activités de traitement (RoPA) conformes à l'article 30

  • Accords avec les fournisseurs : Développez des accords de traitement de données conformes au RGPD

  • Planification de la réponse aux violations : Créez des plans de réponse aux incidents avec les délais de notification du RGPD

  • Organisation de l'espace de travail : Gérez vos projets RGPD séparément des autres initiatives de conformité

L'IA a une connaissance directe de la structure et des exigences du RGPD ; vous pouvez donc référencer des articles ou des droits spécifiques dans vos invites.

Essayez de demander : « Générer une procédure de réponse à une demande d'accès (DSAR) » ou « Créer une notice de confidentialité conforme au RGPD pour une application SaaS »

Pour commencer

Pour débuter votre travail de conformité RGPD dans ISMS Copilot :

  1. Créez un espace de travail dédié à la conformité RGPD

  2. Demandez à l'IA de vous aider à identifier votre base légale pour les activités de traitement

  3. Générez les politiques fondamentales (politique de confidentialité, rétention des données, droits des personnes)

  4. Créez des registres des activités de traitement au titre de l'article 30 pour votre organisation

  5. Téléchargez la documentation de confidentialité existante pour une analyse des écarts

  6. Développez un cadre d'AIPD pour les activités de traitement à haut risque

  7. Créez des accords de traitement de données avec les fournisseurs alignés sur les articles 28-29

Ressources connexes

  • Texte officiel du règlement RGPD : EUR-Lex

  • Lignes directrices et recommandations du Comité européen de la protection des données (EDPB)

  • Conseils de l'autorité nationale de protection des données (ex: CNIL) de votre juridiction

Cela vous a-t-il été utile ?