Conférence à l’université de Lille sur le RGPD

Notre directeur des services Denis VIROLE est intervenu le 9 novembre 2017 à l’Université de Lille.

L’intervention réalisée portait sur le thème suivant : Le RGPD, nouvelle réglementation en matière de protection des données personnelles.

La vidéo de cet événement est disponible à l’adresse suivante : lien

Accord de collaboration Ageris GROUP / BMI SYSTEM

Communiqué de presse

Règlement Général de la Protection des Données personnelles (RGPD)

BMISYSTEM et AGERIS Group signent un accord de collaboration pour l’accélération du développement de la première solution logicielle intégrale de gouvernance des données personnelles

Montrouge, le 19 octobre 2017

BMISYSTEM, éditeur de logiciel français leader dans la gestion des exigences de Compliance et de Transparence pour l’industrie pharmaceutique et les fabricants de dispositifs médicaux, annonce aujourd’hui la signature d’un accord de collaboration avec AGERIS Group pour l’accélération du développement de la première solution logicielle intégrale de gouvernance des données personnelles à destination des entreprises de tous secteurs d’activité, dans le cadre de la mise en œuvre du Règlement Général de la Protection des Données personnelles (RGPD).

AGERIS Group, entreprise de services indépendante spécialisée, est reconnue dans la protection de l’information (ISO 27001, ISO27002, etc), la continuité d’activité PCA / PRA (ISO 22301) et la protection des données à caractère personnel (RGPD) pour les plus grandes organisations du secteur public, de la santé, des banques-assurances ou des industriels d’envergure internationale.

Dans le cadre de cet accord de collaboration, BMISYSTEM bénéficie de l’expertise d’AGERIS Group pour pouvoir accélérer le développement de la première solution logicielle pour la gouvernance des données personnelles. AGERIS Group avait déjà développé sa propre solution logicielle SCORE entièrement basée sur les recommandations de la CNIL pour faciliter et automatiser la mise en conformité des organismes publics et privés. Distinguée par le label « France Cybersecurity », SCORE est aujourd’hui reconnue comme l’une des solutions les plus performantes de gestion des risques liés à l’usage des systèmes d’information. Dans le cadre de cet accord, AGERIS Group pourra ensuite commercialiser la solution logicielle développée par BMISYSTEM auprès de ses clients, solution qui sera disponible exclusivement en Mode Web incluant SaaS, On-Premise et Mobile.

Jérôme Martinez, Président de BMISYSTEM, déclare : « Nous sommes très heureux d’annoncer cet accord de collaboration qui nous permet d’accélérer le développement de la première solution logicielle de gouvernance des données personnelles pour accompagner nos clients historiques de l’industrie pharmaceutique, mais également de nouveaux clients dans tous les secteurs d’activité. L’accélération du développement de notre solution logicielle unique est clé par rapport à l’échéance du 25 mai 2018 et pour sa commercialisation, afin de répondre rapidement aux enjeux stratégiques des entreprises pour la gestion et la protection des données personnelles. »

A propos de BMISYSTEM : www.bmi-system.com

Depuis sa création en 2004, BMI SYSTEM est le seul éditeur de logiciels français de gestion de la compliance destinés à l’industrie pharmaceutique et aux fabricants de dispositifs médicaux. La société est basée à Montrouge et implantée à Londres, Bruxelles, Barcelone et Boston.

A propos de AGERIS GROUP : www.ageris-consulting.com

Société française experte dans la protection des données personnelles, AGERIS Group développe depuis 2007, par le biais d’Ageris Privacy, la solution logicielle SCORE entièrement basée sur les recommandations de la CNIL pour faciliter et automatiser la mise en conformité des organismes publics et privés. Distingué par le label « France Cybersecurity », SCORE est aujourd’hui reconnue comme l’une des solutions les plus performantes de gestion des risques liés à l’usage des systèmes d’information.

 

Catalogue et planning des formations 2018

Ageris GROUP vous propose un catalogue complet de formations SSI , continuité d’activité et protection des données personnelles (RGPD, AIPD). Consultez notre planning de formations pour l’année 2018 et n’hésitez pas à nous contacter pour obtenir de plus amples renseignements.

Catalogue des formations – Planning des formations

Séminaire sur le thème « Le GDPR et les impacts organisationnels pour les entreprises »

Merci à XMEDIUS, partenaire d’Ageris GROUP d’avoir invité Denis VIROLE à animer ce séminaire du 03 octobre 2017 sur le thème « Le GDPR et les impacts organisationnels pour les entreprises ». Conversations et échanges intéressants de la part des nombreux participants !

Si vous souhaitez consulter le présentation en anglais, celle-ci est disponible à cette adresse : plan d’action GDPR

Vous pouvez également consulter la vidéo de Denis Virole intervenant sur ce thème : Lien

Le GDPR, plan d’action

Denis Virole, directeur des services Ageris GROUP anime des formations sur le thème du nouveau règlement européen et la construction d’un plan d’action de mise en conformité.

Nous vous proposons les deux supports diffusés lors de ces formations dispensées en Anglais.

Formation GDPR : lien

Formation Plan d’action GDPR : lien

Intervention à l’Université des CIL le 25 janvier

Denis Virole, directeur des services Ageris GROUP est intervenu lors de l’Université des CIL organisée par l’AFCDP le 25 janvier 2017 à Paris.

M. Virole a apporté son expertise sur le domaine suivant :

Le CIL et la sécurité des données à caractère personnel : une vision synthétique des dispositifs techniques et organisationnels à mettre en œuvre Denis VIROLE –AGERIS, Directeur de la formation
Conformément à l’article 34 de la Loi du 6 janvier 1978, à l’article 17 de la Directive européenne du 24 octobre 95 et à l’article 32 du Règlement européen du 14 avril 2016, le Responsable et le sous-traitant doivent mettre en œuvre les mesures organisationnelles et techniques appropriées (consécutives aux EIVP) afin de garantir un niveau de sécurité adapté aux risques. Le CIL (DPO) doit accompagner et conseiller le Responsable du Traitement et son sous-traitant sur les mesures à mettre en place. Cette fonction doit s’exercer en collaboration avec la fonction SSI. Cependant, un grand nombre de CIL à culture non technique se sent en difficulté face à ce devoir de conseil et de contrôle. L’objectif de cet atelier est donc de donner les éléments nécessaires aux CIL afin d’améliorer le dialogue avec les acteurs à profil technique, internes ou sous-traitants. Afin de mieux appréhender la mise en œuvre du principe de sécurité ou de son contrôle, l’animateur vulgarisera et synthétisera dans une approche structurée et adaptée à des CIL non techniques, l’ensemble des mesures organisationnelles, techniques et architecturales concernant la protection des données à caractère personnel sur la sécurité des accès, des échanges, des serveurs et des « postes de travail ».

 

AGERIS GROUP a obtenu le Label CNIL pour sa formation « Devenir CIL »

AGERIS GROUP a obtenu le Label CNIL pour sa formation « Devenir CIL »

La formation « Devenir CIL » de la société AGERIS a obtenu le Label CNIL Formation, le 29 septembre 2016. Ce label constitue un cadre éthique et juridique adapté témoignant de la volonté de notre entreprise de se mettre en conformité avec la Loi Informatique et Libertés de 1978 modifiée par la Loi de 2004 ainsi qu’avec la nouvelle règlementation européenne, le Règlement n°2016/679.

Pour visualiser la délibération de la CNIL : Délibération CNIL

Intervention Thierry RAMARD ECOTER – La relation entre collectivités et fournisseurs

Thierry RAMARD animera un atelier lors du club collectivités de la Mission ECOTER le 30/11 à 14h35 sur le thème : La relation entre collectivités et fournisseurs.

Les questions abordées seront les suivantes :

Sécurité des systèmes d’information, traitement et bonne gouvernance des données, quelles sont les règles ?

Comment gérer la relation avec les tiers impliqués dans le traitement (fournisseur) ?

Quelle place pour la sécurité et la « protection vie privée » dans la collecte et la gestion des données (big data) ?

Ageris GROUP intervient lors de la 11ème université des CILs le 25 janvier 2017 à Paris

Ageris GROUP intervient par l’intermédiaire de Denis VIROLE lors de la 11ème université des CILs à  Paris le 25 janvier 2017 sur le thème : « Le CIL et la sécurité des données à caractère personnel : une vision synthétique des dispositifs techniques et organisationnels à mettre en œuvre »

Consulter l’article sur le site de l’AFCDP : lien

Descriptif :

Conformément à l’article 34 de la Loi du 6 janvier 1978, à l’article 17 de la Directive européenne du 24 octobre 95 et à l’article 32 du Règlement européen du 14 avril 2016, le Responsable et le sous-traitant doivent mettre en œuvre les mesures organisationnelles et techniques appropriées (consécutives aux EIVP) afin de garantir un niveau de sécurité adapté aux risques. Le CIL (DPO) doit accompagner et conseiller le Responsable du Traitement et son sous-traitant sur les mesures à mettre en place. Cette fonction doit s’exercer en collaboration avec la fonction SSI. Cependant, un grand nombre de CIL à culture non technique se sent en difficulté face à ce devoir de conseil et de contrôle. L’objectif de cet atelier est donc de donner les éléments nécessaires aux CIL afin d’améliorer le dialogue avec les acteurs à profil technique, internes ou sous-traitants. Afin de mieux appréhender la mise en œuvre du principe de sécurité ou de son contrôle, l’animateur vulgarisera et synthétisera dans une approche structurée et adaptée à des CIL non techniques, l’ensemble des mesures organisationnelles, techniques et architecturales concernant la protection des données à caractère personnel sur la sécurité des accès, des échanges, des serveurs et des « postes de travail ».

Conférence relative au « Nouveau Règlement sur la protection des données »

Justine Bertaud Du Chazaud, juriste Ageris GROUP

La société AGERIS a assisté à la Conférence relative au « Nouveau Règlement sur la protection des données » organisée par la CNPD, la Commission Nationale pour la Protection des données (équivalent de la CNIL au Luxembourg) le 11 octobre à l’Université du Luxembourg.

Les intervenants ont présenté successivement les principaux changements du nouveau Règlement Général sur la Protection des Données, le « RGPD », à savoir : une présentation générale du nouveau règlement européen mettant en avant l’origine de l’adoption d’une nouvelle réglementation européenne ainsi que les principales évolutions par rapport à la Directive 95/46/CE ; le renforcement des droits des personnes et les nouvelles obligations du Responsable du Traitement ; les nouvelles responsabilités du Responsable du Traitement et du sous-traitant ; le renforcement de la coopération entre les différentes autorités de contrôle et la création d’un Comité européen de la Protection des données ; et enfin le nouveau rôle du Délégué à la Protection des Données.

Cette nouvelle réglementation européenne, entrée en vigueur le 24 mai 2016 et qui sera applicable le 25 mai 2018, prévoit des changements majeurs.

Tout d’abord, il convient de noter qu’à présent il n’y aura plus vingt-huit législations sur la protection des données différentes (les Etats-membres de l’Union européenne ayant transposé la Directive 95/46/CE au sein de leur droit national – la Directive laissant aux Etats le choix des moyens pour atteindre les objectifs fixés par le texte européen), mais un texte européen unique sur la protection des données à caractère personnel, applicable dans l’ensemble des Etats membres. Cette unification permettra ainsi d’éviter les cas de « forum shopping », notion propre au droit international privé (le demandeur choisissant le tribunal d’un Etat, non pas parce qu’il s’agit du « for » le plus approprié, mais en raison du fait que les règles de conflits de lois qu’utilisera ce même tribunal mèneront à l’application de la Loi la plus favorable à ses intérêts).

Concernant à présent, les principales avancées de ce texte, le Règlement européen n°2016/679 renforce le droit des personnes concernées et par corollaire impose de nouvelles obligations au Responsable du traitement.

L’article 12 du Règlement européen prévoit désormais un délai de réponse d’un mois pour répondre aux demandes de droit d’accès, de rectification, d’opposition et d’effacement (droit à l’oubli).

De nouveaux droits ont également été instaurés tels que le droit à la limitation du traitement (article 18), et le droit à la portabilité des données (article 20).

Le Règlement utilise également de nouvelles dénominations pour certains droits : le droit de suppression devient le droit à l’oubli ou le droit à l’effacement des données (article 17), les « décisions individuelles automatisées » correspond désormais au « profilage » (article 22).

Enfin, le nouveau texte prévoit à présent une mention d’information en treize points (voir quatorze points lorsque les données n’ont pas été collectées directement auprès de la personne concernée) : par exemple les coordonnées du Délégué à la protection des données devront être indiquées.

Un autre point important doit également être soulevé concernant le principe de licéité du traitement, c’est-à-dire que le traitement doit avoir une base légale : la collecte doit avoir reçu le consentement de la personne concernée ou satisfaire à certaines exigences (Référence article 6 du Règlement). S’agissant de la notion de « consentement », celle-ci n’était pas envisagée de la même façon selon les Etats membres de l’Union européenne. L’article 4 (11) du Règlement dispose que le consentement est toute « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

La nouvelle réglementation européenne a donc pour objectif un renforcement des droits des personnes qui passe notamment par une meilleure information de ces dernières dans l’utilisation que les responsables des traitements font de leurs données.

D’autre part, le Règlement européen prévoit le cas de la « responsabilité conjointe entre responsable du traitement » (art. 26). Ainsi lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils deviennent responsables conjoints du traitement.

De plus, le Responsable du traitement devra à présent démontrer sa conformité au nouveau Règlement européen, et documenter les mesures ainsi mises en œuvre (principe d’ « accountability »). Il devra donc mettre en place des mesures techniques et organisationnelles (« privacy by design », c’est-à-dire mise en place de mesures techniques et organisationnelles au moment de la mise en œuvre du traitement, et « privacy by default », mise en place de mesures techniques et organisationnelles une fois le traitement de données à caractère personnel mis en œuvre – art. 25 du Règlement).

Le Règlement européen ne prévoit pas d’effectuer, comme c’est le cas aujourd’hui avec la Loi modifiée luxembourgeoise sur la protection des données de 2002 ou la Loi française Informatique et Libertés de 78, d’effectuer des formalités préalables (déclaration normale, déclaration simplifiée) auprès d’une autorité de contrôle (CNPD ou CNIL par exemple).

Pour « faciliter » la mise en conformité des entreprises avec ces nouvelles obligations, le Règlement encourage fortement l’élaboration de Codes de conduite (art. 40) par les associations (ADLP au Luxembourg ou AFCDP en France par exemple), et la mise en place de labels, certifications (art. 42).

D’autre part, le responsable du traitement a également l’obligation de tenir un registre (art. 30), et également d’effectuer des analyses d’impact (art. 35) dans certains cas. Le « G29 » travaille actuellement sur une liste de traitements pour lesquels une EIVP sera nécessaire.

En matière d’obligations du Responsable du Traitement, l’article 33 envisage désormais que le responsable doit notifier à l’autorité de contrôle toute violation de données à caractère personnel, dans les 72 heures (cette obligation ne concernant actuellement que les fournisseurs de services de communications électroniques, directive 2002/58/CE) ; également toute violation de données à caractère personnel doit être notifiée à la personne concernée (art. 34).

            Les sous-traitants ne sont pas en reste : l’article 28 du Règlement prévoit que ce dernier doit présenter des « garanties suffisantes » quant à la mise en œuvre des mesures techniques et organisationnelles ; il ne doit pas recruter un autre sous-traitant sans avoir reçu l’accord préalable du responsable du traitement ; enfin, cette disposition prévoit ce que doit contenir le contrat entre le sous-traitant et le responsable du traitement.

            L’article du Règlement prévoit trois cas pour lesquels la désignation d’un Délégué à la Protection des Données sera obligatoire : les autorités publiques ou organismes publics, les traitements de données à caractère personnel par une entreprise de manière systématique et à grande échelle, les traitements de données à caractère personnel particulières à grande échelle (art. 37).

            De manière générale, le nouveau Règlement prévoit une coopération renforcée entre les différentes autorités de contrôle.

Ainsi, en cas de traitements de données à caractère personnel transfrontalier, la personne concernée peut introduire une plainte auprès de l’autorité de contrôle de l’Etat de sa résidence. Cependant, l’autorité de l’établissement principal du Responsable du traitement est également compétente pour agir en tant qu’autorité chef de file. L’autorité de contrôle chef de file mènera alors une enquête auprès du Responsable du traitement et devra répondre à la demande de l’autorité de contrôle dans un délai d’un mois. Suite à la décision de l’autorité chef de file, l’autorité de contrôle de la résidence de la personne concernée pourra formuler une objection ou accepter la décision. En cas d’objections formulées, l’autorité chef de file pourra suivre ou non les objections de l’autorité de contrôle. Dans le cas où l’autorité chef de file accepte la décision de l’autorité de contrôle, la décision est ensuite notifiée au responsable du traitement. Ce dernier dispose alors d’un recours juridictionnel contre la décision de l’autorité chef de file (art. 78 du Règlement).

            Le nouveau Règlement prévoit de nouvelles sanctions financières : en effet, à présent une entreprise pourra se voir infliger une amende allant de 2 à 4% de son chiffre d’affaires mondial.

logo Ageris image Notre catalogue de formations

Notre planning de formations
logo Ageris image
« Devenir CIL / DPO » « Loi Informatique et Libertés dans le domaine de la santé »

Tous droit réservés © Ageris 2017

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer