Nouvelles responsabilités IT de Lxcdm avec le RGPD.
|
Les interventions de LXCDM dans le cadre du respect au RGPDLorsque nous intervenons en qualité de sous-traitant IT dans la mise en œuvre d’une intervention, nous devons offrir à notre client « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen). Nous devons notamment assister et conseiller notre client dans sa conformité à certaines obligations prévues par le règlement européen (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits).
|
Celles-ci impliquent premièrement une obligation de transparence et de traçabilité.Nous devons : - Etablir avec votre client un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen. - Recenser par écrit les instructions de notre client concernant les traitements de ses données afin de prouver que nous agissons « sur instruction documentée du responsable de traitement ». - Demander l’autorisation écrite de votre client si, en tant que sous-traitant, nous faisons nous même appel à un sous-traitant. - Mettre à la disposition de notre client toutes les informations nécessaires pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits. - Tenir un registre qui recense vos clients et décrit les traitements que nous effectuons pour leur compte.
|
|
|
Celles-ci impliquent deuxièmement une prise en compte des principes de protection des données par défautNous devons offrir à nos clients les garanties nécessaires afin que le traitement que nous mettons en œuvre pour leur compte réponde aux exigences du règlement européen et protège les droits des personnes concernées. Cela signifie notamment que : - dès leur conception, nos outils, produits, applications ou services que nous offrons à nos clients, intègrent de façon effective les principes relatifs à la protection des données et - par défaut, nos outils, produits, applications ou services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.
|
Celles-ci impliquent troisièmement une obligation de garantir la sécurité des données traitées - Nos employés qui traitent les données de nos clients sont soumis à une obligation de confidentialité. - Nous devons notifier à notre client toute violation de ses données. - Nous devons prendre toute mesure pour garantir un niveau de sécurité adapté aux risques. - Au terme de notre prestation et selon les instructions de notre client, nous devons supprimer toutes les données ou les renvoyer à notre client ainsi que détruire les copies existantes sauf obligation légale de les conserver.
|
|
|
Celles-ci impliquent quatrièmement une obligation d’assistance, d’alerte et de conseil - Si, selon nous, une instruction de notre client constitue une violation des règles en matière de protection des données, nous devons l’en informer immédiatement. - Lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage). Nous devons, dans toute la mesure du possible, aider notre client à donner suite à cette demande. - Compte tenu des informations à notre disposition, nous devons aider notre client à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.
|
Intérêts du contrat de services LXCDM et sa convention RGPD avec gestion des risquesNous établissons avec notre client un contrat de services Gestion intégrale de l’infrastructure informatique qui est complété avec un acte juridique sous forme de convention RGPD définissant également une gestion des risques entreprise conjointement par les deux parties. De cette analyse de gestion des risques, nous mettons en place une politique de sécurité sur ces points d’intérêt majeurs : - Sensibilisation des collaborateurs. - Authentification des utilisateurs. - Gestion des habilitations. - Sécurisation des postes de travail. - Sécurisation de l’informatique mobile. - Protection du réseau informatique interne. - Sauvegarde et prévention de la continuité d’activité. - Archivage de manière sécurisée au Luxembourg. - Encadrement de la maintenance et de la destruction des données. - Gestion de la sous-traitance. - Droit des personnes dont des données personnelles ont été collectées et traitées.
|
|
|
|
|