Ou comment soumettre mon entreprise à la LOPD?
Toute entreprise a l'obligation de protéger les informations personnelles contenues dans un ficher, soient-elles sous format papier ou informatique, ce par l'application de moyens de sécurité établis légalement. La loi différencie trois moyens de sécurité:
1° le niveau de base: pour toutes les données personnelles traitées par des entreprises;
2° le niveau moyen: pour les entreprises dédiées aux services financiers, aux gestions et services relatifs à la Sécurité Sociale et les mutualités d'assurance de travail et maladies professionnelles de la Sécurité Sociale, ou toutes données qui permettent d'évaluer des aspects personnels ou de comportement des personnes.
3° le niveau élevé: toutes données idéologiques, de croyances, origine racial, vie sexuelle, etc.
Le niveau de sécurité basique exige aux documents de sécurité un contenu spécifique, une procédure de notification, gestion et réponse précise, une régulation des fonctions, obligations et d'accès des employés sur les fichiers, un système de sécurité déterminé et adapté à chaque entreprise.
Ainsi, le ou les responsables des fichiers doivent y accéder avec une clef d'accès personnelle et strictement privée et se soumettre à une réglementation interne de la gestion de celles-ci.
Des contrôles périodiques (minimum tous les 2 ans) doivent être réalisés afin de vérifier les contenus, et si des données doivent être éliminées, le procédé doit empêcher toute récupération future de l'information.
Il est obligatoire d'informer toute personne intéressée depuis le moment où ses données sont reçues et gardées, de ses droits d'accès, de modification et d'élimination de ses données , lui proportionnant les moyens de le faire, qui ne pourront être plus formels ou compliqués que les moyens utilisés pour collecter ses données personnelles. Aujourd'hui de nombreuses entreprises le font déjà en bas de leur email.
Un contrat de prestation de services et confidentialité devra être signé avec les tiers qui traitent toute donnée personnelle, car l'entrepreneur est responsable légal du fichier et vous autorisera le transfert d'informations personnelles au comptable, au notaire, au banquier,etc.
Les employés doivent être informés des mesures de sécurité et ceux-ci doivent accepter de s 'y soumettre (signer un compromis de respect des mesures de sécurité interne qui explique celles-ci).
Les données personnelles ne peuvent être cédées à d'autres entreprises, soient-elles ou non du groupe, sans autorisation expresse. Un avis légal devra donc inclure cette possibilité le cas échéant.
Le registre de données personnelles doit subir une copie sécurisée, chose qui en principe se réalise déjà par la plupart des entreprises. Mais en plus, un livre de registre doit être maintenu, livre qui contiendra le suivi et l'accomplissement des mesures de sécurité, les personnes qui y ont accès, etc.
Dans un prochain post: quelles sont concrètement ces mesures standardisées de sécurité à avoir dans son entreprise?
Aucun commentaire:
Enregistrer un commentaire