Blog

4 févr. 2019 16:07

Elections sociales et RGPD : Qu’est ce qui change ?

Au vu de la nouvelle législation en vigueur, les employeurs luxembourgeois ne peuvent plus soumettre un engagement formel de conformité relative à la décision de notification unique du 14 septembre 2007 (délibération n° 108/2007 – élections sociales).
De même les formalités préalables à effectuer auprès de la CNPD ne sont plus requises, toutefois les obligations et les principes découlant du Règlement général de la Protection des données (RGPD) et de la loi du 1er août 2018 doivent être respectés par les responsables du traitement.

Le rôle du responsable de traitement dans ces élections ?

Dans le cadre des élections sociales, le responsable de traitement – à savoir l’employeur ou le chef d’établissement en charge de l’organisation de ces élections – doit pouvoir démontrer sa conformité au RGPD.Comme le prévoit l’article 30 du règlement, le responsable de traitement doit faire figurer l’ensemble des traitements de données effectués dans le registre des activités de traitement.
Dans ce registre, les traitements de données dans le cadre des élections sociales doivent y figurer également, en précisant le nom et les coordonnées du responsable de traitement.

Openfield vous accompagne dans la mise en place de ce changement. Nous vous aidons à vous conformer au RGPD, en adéquation avec les lois européennes.
N’attendez plus, contactez-nous dès à présent. Nous analyserons et évaluerons l’écart entre votre organisation actuelle et les exigences du RGPD. Nous mettons à votre disposition, un délégué à la Protection des données, et nous vous fournissons un accompagnement clés en main, personnalisé à votre métier et à votre entreprise.


22 nov. 2018 10:37

BLACK FRIDAY : Ne courez aucun risque avec OpenField. Votre analyse de sécurité est à -50% ! *

L'analyse de sécurité examine la totalité des domaines de risques potentiels au sein de votre organisation.

C'est une évaluation:

– Le contexte technique et l’environnement informatique cible spécifique
– Les impératifs métiers et leurs conséquences sur le système d’information
– Les forces et faiblesses du SI mis en œuvre, administré et utilisé
– Les forces et faiblesses opérationnelles et organisationnelles,

Cette analyse permet de déterminer des axes de progrès en vertu des meilleures pratiques associées.

Nous vous formulons des recommandations et des plans d’actions associés

Offre valable du 23 au 26 novembre 2018, réservée pour une analyse de sécurité dans une PME de moins de 100 personnes. Analyse de sécurité de 5 jours à 2500 € au lieu de 5000 €. L’offre doit être signée lundi 26 novembre au plus tard pour profiter de la remise spéciale Black Friday.

Pour plus d’informations, contactez-nous au +352 26 250 1 ou info@openfield.eu


21 nov. 2018 08:46

Ouverture à Metz, d'OpenField France

Implantée sur le Technopôle de Metz, OpenField France est spécialisée dans le conseil en Systèmes d’Information; notamment la gestion de projets informatiques, la sécurité des données et la transformation digitale tout comme OpenField S.A. qui bénéficie de plus de 13 années d’expérience et d’expertise, au Luxembourg.

« Nous travaillons pour des clients français depuis des années déjà. Notre expertise fait que nous avons une vraie valeur ajoutée sur le marché mosellan dans les domaines de l’accompagnement à la digitalisation et de la sécurité informatique. L’entrée en vigueur du RGPD (Règlement Général pour la Protection des Données) a entraîné une forte croissance des sollicitations. Nous avons donc décidé d’être physiquement présents, à Metz, pour servir au mieux nos clients : PME, PMI et institutions », explique Dominique Lo Sardo.

Dominique Lo Sardo a choisi de diriger personnellement OpenField France. « Cela fait 25 ans que je travaille au Luxembourg. Mais je suis Messin d’origine. Notre implantation à Metz me tient tout particulièrement à cœur. Je suis fier de pouvoir, aujourd’hui, créer de l’activité et des richesses dans ma ville d’origine. Ce n’est pas tous les jours qu’une entreprise luxembourgeoise investit de l’autre côté de la frontière », confie le dirigeant.

Optimiser les relations Lorraine-Luxembourg

Administrateur de la Chambre Française de Commerce et d’Industrie au Luxembourg, membre du BCFL (Business Club France-Luxembourg), ainsi que de l’Union des Entreprises 57, Dominique Lo Sardo entend également mettre à profit la création d’OpenField France pour favoriser les relations d’affaires entre les deux territoires.

« Il y a une volonté de développer les coopérations comme l’a mis en lumière la visite du Grand-Duc à Paris, récemment, à laquelle nous avons été convié. Le Luxembourg et la Lorraine ont besoin l’un de l’autre pour continuer à se développer. Il importe, à ce titre, de lever des freins. J’entends contribuer à fluidifier ces échanges car ce sera profitable aux deux partenaires », indique Dominique Lo Sardo.

La société OpenField France s’est installée au CESCOM, le Centre d’Affaires de la SAEML Metz Techno’pôles. Elle a officiellement démarré ses activités début novembre.

En s’installant au CESCOM, Carrefour des rencontres professionnelles, OpenField France souhaite participer activement au dynamisme du territoire métropolitain et lorrain ainsi que du Centre d’Affaires CESCOM.

C’est dans ce cadre que la société Open Field S.A. a rejoint la Communauté Myreseau de Metz Techno’pôles pour animer en tant qu’Expert et Partenaire les Ateliers du Digital. L’objectif étant d’aider les entreprises et institutions souhaitant tirer profit des technologies de l’information et de la communication afin de gagner en compétitivité, et en respectant les bonnes pratiques en matière de sécurité et de méthodologie informatique.


17 sept. 2018 07:28

Stratégie de la Commission nationale pour la protection des données (CNPD) pour 2018

Nous vous proposons un bref aperçu des éléments importants de cette stratégie :

  • Publications de guidance et sensibilisation des entreprises et des individus ;
  • Renforcement de la transparence des responsables de traitement, sous-traitants et de la CNPD envers les personnes concernées ;
  • Contrôles proactifs et thématiques relatifs au respect des nouvelles obligations du RGPD et notamment à la fonction de DPO et mesures organisationnelles et techniques mises en place (registres, analyses d’impact, etc …) ;
  • Contrôles réactifs suite à des plaintes ou incidents (vidéo-surveillance, géolocalisation, publicité et marketing)

Nous souhaitons attirer votre attention sur les qualités professionnelles du DPO à savoir :

  • Connaissances en droit (article 37 paragraphe 5, RGPD) ;
  • Expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données, ainsi que d’une connaissance approfondie du RGPD (WP29, lignes directrices concernant les DPO) ;
  • Bonne compréhension des systèmes d’information (WP29, lignes directrices concernant les DPO) ;
  • Connaissance du secteur d’activité et de l’organismes (WP29, lignes directrices concernant les DPO).


7 sept. 2018 13:35

Quelles similarités entre RGPD et ISO 27001 ?

Les deux standards ont beaucoup de points communs, la plupart étant liés à la sécurité des informations. Voici les principaux :

• Confidentialité, disponibilité et intégrité des données.

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De la même manière, plusieurs contrôles dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. La clause 4 stipule qu’elles doivent identifier les facteurs internes et externes qui peuvent impacter leurs programmes de sécurité. La clause 6 leur demande de déterminer leurs objectifs de sécurité IT et de créer un programme ad hoc. La clause 8 définit les standards pour la maintenance continue de leur programme de sécurité et leur impose de documenter ce dernier pour démontrer leur conformité.

• Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données des personnes. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque, notamment pour les données hautement sensibles.

ISO 27001 conseille également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les points de vulnérabilité qui peuvent altérer les actifs (clause 6.1.2), et de prendre les mesures de sécurité appropriées (clause 6.1.3).

• Gestion des parties prenantes

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

• Notification des failles de sécurité

Selon les articles 33 et 34 du RGPD, les entreprises doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une faille de sécurité de données personnelles. Les sujets de données doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des sujets des données ».

La clause A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité, mais stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à faciliter toute action corrective rapide.

• Protection des données dès la conception et par défaut

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut et s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »).

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent, tandis que la clause 6 recommande qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

• Conservation des historiques

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement, y compris la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité, ainsi que les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

Est-ce que la conformité avec ISO 27001 garantit la conformité RGPD ? Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il y a plusieurs différences entre les deux standards. Le RGPD est un standard global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent assurer la confidentialité des données. ISO 27001 est un ensemble de bonnes pratiques avec un focus sur la sécurité des informations. La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux suivants liés à la confidentialité des données (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des sujets de données ») :

• Consentement : les contrôleurs de données doivent prouver que les sujets de données ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement accessible, avec la finalité du traitement des données clairement décrit. Les sujets de données ont également le droit d’annuler leur consentement à tout moment.

• Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre contrôleur sans entrave à l’utilisation.

• Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.

• Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.

• Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).

• Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantit pas le conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.


31 août 2018 08:27

Avoir une bonne gouvernance de vos données est un atout !

Depuis le 25 mai dernier la CNPD au Luxembourg, tout comme la CNIL en France et les entités étatiques indépendantes préposé à la surveillance de la privacy, peuvent vérifier la mise en conformité des entreprises et les sanctionner. Malheureusement pour de nombreuses organisations, le projet RGPD est loin d’être achevé et pour certains, il n’a pas encore débuté.

Par où et comment démarrer ? quelles sont les bonnes pratiques ? quelles sont les premières étapes en cas de crise ? comment faire l’étude d’impact ? etc.

Plusieurs étapes importantes restent essentielles dans cette mise en conformité du RGPD.

Avant toute chose, il est important de revoir les contrats de sous-traitance. Les entreprises doivent refondre les différents contrats de leurs sous-traitants et vérifier qu’ils respectent correctement les obligations spécifiques en matière de sécurité, tel que la tenue du registre du traitement, la garantie de la sécurité des données traitées, la traçabilité, la transparence, etc. Il est important pour chaque entreprise de rédiger un contrat spécifique à chaque sous-traitant.

De plus, il est important de définir la cartographie des risques. Elle doit être à la fois dynamique et toujours en mouvement. C’est-à-dire que le traitement des données doit être défini par un processus dynamique et plus généralement par un système automatisé. Les entreprises doivent apprendre à gérer leurs données, de manière générale c’est une gestion globale des données. Cette gouvernance des données doit être partagée par tous les services de l’entreprise. Le RGPD apparait comme une opportunité pour mettre en place un processus de gouvernance globale.

Afin de se mettre en conformité, il faut commencer par élaborer une analyse d’impact (PIA) adaptée au contexte de chaque organisation. Cette analyse permet à chaque structure (entreprises ou institutions) de décrire le traitement des données, d’évaluer les risques des droits des personnes concernées (par exemple dans le cas de la mise en place de caméras de vidéosurveillance sur les lieux de travail, l’employeur doit en informer les employés), apporter les preuves du respect des droits du RGPD, etc.

Afin d’être conforme au RGPD, il faut également anticiper la gestion des risques. La mise en place du RGPD concerne autant le juridique, la technique, l’organisationnel que la communication. Les sanctions financières et la réparation de préjudice ont une place importante dans le règlement c’est pourquoi il ne faut pas sous-estimer ce point. Les risques majeurs identifiés à ce jour sont principalement : le manque de préparation du responsable du traitement et du sous-traitant, le manque de coordination, le manque de préparation des équipes externes. Pour éviter ces risques, nous vous conseillons 5 réflexes à entreprendre : il faut faire la qualification juridique des faits, la déclaration d’assurance, l’analyse du contrat de sous-traitance, la gestion des preuves et le dépôt de plaintes.

En matière technique, il faut suivre plusieurs étapes pour gérer les risques : analyser la situation, prendre des mesures d’urgence, documenter chaque intervention, adapter les mesures techniques pour éviter les récidives.

Quant à la partie communication, il faut faire preuve d’empathie, de transparence et évidemment proposer une réparation à la personne victime du préjudice.

Pour finir, il faut se préparer à un éventuel contrôle de la CNPD/CNIL. Ils peuvent en effet, procéder à un contrôle sur place, sur pièces, sur audition ou en ligne. C’est pourquoi en cas de contrôle il faut définir un comité de contrôle RGPD réunissant le DPO (interne ou externe), le DSI, le DJ et le directeur du projet RGPD. Il est important pour chaque organisation de faire en sorte pour que les sanctions (si celle-ci devait être indiqués) soient le moins dommageable pour elle. Etre coopératif et transparent ne fera que faciliter le contrôle.

Si votre entreprise n’a toujours pas débuté ou achevé sa mise en conformité au RGPD, pas de panique. OpenField, expert en la matière, vous offre les conseils et compétences pour vous accompagner dans cette mise en conformité.

Pour connaitre l’approche d’OpenField, contactez d’ores et déjà nos experts.


14 juin 2018 08:04

Outsourcing : Connaitre les raisons et les avantages

Les raisons

Réduire et contrôler les coûts d'exploitation en est une des raisons car lorsque vous externaliser, vous éliminez les coûts associés à l'embauche d'un employé et de ce fait, vous améliorez l'orientation de l'entreprise. Ce n'est ni pratique, ni possible d'être un homme à tout faire. L'externalisation vous permet de vous concentrer sur vos compétences de base tandis qu'une autre entreprise se concentre sur les leurs. Vous bénéficiez de l'expérience d'une équipe de professionnels avec du personnel ayant une formation et des certifications appropriées.

L’externalisation vous permet de gagner en flexibilité et en réactivité. Chaque employé se concentre sur ses missions principales.

Les avantages

De nos jours, les évolutions technologiques en matière de logiciels et matériels informatiques ne cessent d’accroitre et deviennent vite obsolète pour l’entreprise. Il est difficile pour un membre de l’entreprise de rester informé à toutes ses évolutions. L'infogérance vous donne l'avantage d'avoir une infrastructure en permanence monitorée, sécurisée et mise à jour par des professionnels qualifiés. Et puisque c'est la compétence de base de l'entreprise spécialisée, ils peuvent vous donner des conseils techniques judicieux.

L’outsourcing représente également un allégement des investissements à long terme. L'externalisation de tâches informatiques représente avant tout un important avantage financier pour les PME/PMI en écartant tout besoin de recrutement de personnel pour la gestion du système informatique de l'entreprise. L’entreprise qui a recours à l'infogérance peut faire des économies allant de 15% à 20%.

OpenField vous accompagne

L’infogérance offre de nombreux avantages pour une entreprise. Avant toute prise de décision, il est important de formuler clairement et communiquer les buts et les objectifs relatif au service. Définir avec l’entreprise partenaire, un contrat qui comprend toutes vos attentes, en particulier l'aspect financier.

L’accompagnement est très important pour toute entreprise : être accompagné pour connaitre les différentes étapes, être conseillé pour connaitre les manières de l’intégrer dans son business et auprès de son personnel. C’est un accompagnement et un changement progressif pour toute structure et une relation de confiance entre les deux parties est primordiale.

OpenField, expert en la matière, vous offre les conseils et compétences pour vous accompagner dans ce choix stratégique. Nous définissons ensemble les aspects de votre entreprise que vous souhaitez externaliser et nous vous accompagnons dans leur mise en place.
OpenField répond présent pour suivre vos projets ambitieux et apporte son aide sous une forme d'accompagnement et de conseil opérationnel. Grâce à une expérience variée dans de nombreux domaines, OpenField dispose d'une capacité à vous accompagner dans tous vos projets, vous aide à évaluer la rentabilité et vous garantit un retour sur investissement.

Pour connaitre l’approche d’OpenField, contactez d’ores et déjà nos experts.


4 juin 2018 15:15

Bien choisir son ERP : les étapes pour faire le bon choix

Bien connaître son métier

Choisir son ERP, ce n’est pas seulement choisir le produit au meilleur prix ou qui bénéficie de la plus belle publicité. Choisir sa solution ERP, c’est avant tout connaitre son métier et connaitre ses spécificités et ses contraintes au quotidien. Il existe deux principaux types d’ERP, ceux qui concernent un spectre d’industrie très large et d’autres qui concernent un secteur d’activité plus restreint.

Il est primordial de choisir un ERP orienté sur votre domaine d’activité, sur votre métier, c’est avant tout une solution prête à l‘emploi qui s’adapte facilement et rapidement.Il est tout aussi important de se faire accompagner lors de cette mise en place. Faire appel à un expert avec un réel savoir-faire et une expertise dans votre secteur ou métier, c’est d’autant plus profitable car il sera mieux à même d’analyser vos problématiques, d’y répondre efficacement et de rendre votre projet plus productif.

Un ERP flexible

Lors de votre choix d’un ERP, il est important que celui-ci réponde à 80 % des besoins immédiats de votre entreprise, sans compter qu’il devra répondre à votre stratégie métier à moyen terme. La solution que vous choisirez doit être flexible et modulable pour vous accompagner dans votre métier.

Adapté à votre personnel

Choisir son ERP c’est aussi prendre en compte l’expérience utilisateur. L’adoption et l’appropriation d’un ERP pour le personnel de votre entreprise est un enjeu majeur car il devra travailler quotidiennement sur cet outil. Chaque collaborateur devra y être formé et devra s’y accommoder.

Le coût

L’implantation d’un ERP représente une dépense importante pour une entreprise mais nécessaire. Il faut tenir compte de plusieurs paramètres pour bien calculer son budget et éviter des dépenses non prévues. Un ERP est un investissement à long terme, tant par l’achat du logiciel que par l’achat de matériels nécessaires pour l’implémentation, que les couts liés à la formation des collaborateurs ainsi que le coût de la maintenance. Idéalement vous devez analyser le retour que vous attendez sur celui-ci.

L’accompagnement

Au-delà de l’ERP, il est important de choisir le bon partenaire pour le choix de votre ERP. Il est gage de la réussite de votre projet. Ce partenaire va vous accompagner pendant plusieurs années à vos côtés, il sera garant du bon fonctionnement du dispositif mis en place.

OpenField, expert en matière de conseil en système d’information vous offre les conseils et compétences pour vous accompagner dans ce choix stratégique.

Pour connaitre l’approche d’OpenField, contactez d’ores et déjà nos experts.


8 mai 2018 13:24

Fit4digital : des aides étatiques pour la digitalisation

OpenField, votre partenaire dans ce programme

Ce programme, fruit d’une collaboration entre Luxinnovation, la chambre du Commerce et la chambre des métiers, a pour initiative, de permettre aux petites et moyennes structures, d’utiliser les possibilités offertes par les systèmes d’information et le numérique afin de maîtriser leur évolution métier (ou leur croissance).

Les PME, éligibles (selon des critères bien définis : chiffre d’affaires inférieur à cinquante millions d’euros par exemple, …) et souhaitant bénéficier de ce programme peuvent faire une demande en ligne sur le site www.fit4digital.lu.
OpenField, consultant agréé de Fit4digital se propose de réaliser le diagnostic au sein de l’entreprise candidate afin d’identifier les opportunités liées à la digitalisation aligné à la stratégie de chaque entreprise.

Le rôle de Luxinnovation est de superviser le projet et gérer les aspects administratifs.

L’objectif du programme

En suivant cette démarche, les entreprises candidates obtiendront une vision précise :

  • Des actions d’informatisation prioritaires en adéquation avec leur stratégie
  • Des opportunités liées à l’utilisation des nouvelles technologies au niveau de leur activité et organisation interne
  • Sur la manière de gérer la complexité du changement sur le plan technologique, mais aussi sur les plans organisationnel et culturel

  • De la stratégie informatique et du plan d’action concret à mettre en œuvre

Un support financier aux PME

Différentes aides en faveur des PME ont été mises en place par le ministère de l’économie, elles concernent dans un premier temps, le diagnostic de l’entreprise et dans un second temps, la mise en place du projet.

OpenField propose ensuite un plan d’actions chiffré. Ce diagnostic est totalement pris en charge par le programme et est remboursé à 100 % par le ministère.

Quant à la réalisation du projet, le ministère octroie une aide étatique à hauteur de 50 % des frais de consultance et des aides à l’investissement sont également accordées pour le matériel et logiciel pris en charge.

Le Luxembourg, incite largement les entreprises à franchir le pas, jusque-là peu nombreuses à profiter de ce programme.

La mission d’OpenField consiste à sensibiliser, informer et guider les entreprises luxembourgeoises dans leur transformation digitale. Fit4digital va permettre aux entreprises de rester compétitives et de conquérir de nouveaux marchés. Pour toute information complémentaire sur l’approche d’OpenField, contacter directement nos experts.


26 avr. 2018 12:05

Impacts du RGPD sur les collectivités territoriales

L’application immédiate du RGPD sans période transitoire
Beaucoup de fausses idées circulent sur le RGPD, pensant qu’une période de transition sera accordée, que cette loi ne concerne pas les collectivités territoriales ou même que les petites communes ne sont pas concernées.
C’est pourquoi il est important de préciser qu’aucune période transitoire ne sera accordée, puisque qu’une période de deux ans s’est déjà écoulée entre l’amendement du texte de loi et son entrée en application le 25 mai prochain.
Certes, il est envisageable que les contrôles effectués par la CNIL ne concerneront pas d’emblée, les collectivités, qui seront toutefois concernées par les sanctions financières encourues. De plus, il est important de notifier que le Senat a adopté un amendement en faveur des collectivités afin de les accompagner dans leur conformité au RGPD. Celui-ci a pour but de créer un fond de dotation communication et intercommunal en leur faveur.

Quant au secteur public, tous les acteurs sont concernés par le RGPD. Aucun seuil n’a été établi et même les petites communes sont concernées par ce changement et devront désigner un délégué à la protection des données personnelles (DPD), ou « data protection officer » (DPO).

Le transfert de responsabilité du contrôle de conformité
Le RGPD ne révolutionne pas les principes de la protection des données personnelles prévus dans la loi « informatique et libertés ». Cette dernière présente d’ores et déjà un niveau d’exigences conséquent en la matière, d’ailleurs appliquées par certaines collectivités qui ont, par exemple, déjà nommé des Correspondants Informatiques et Libertés. Le grand changement apporté par le RGPD s’articule autour de la responsabilité des acteurs traitant des données. Il consiste à mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Les collectivités sont particulièrement concernées dans la mesure où elles traitent au quotidien de nombreuses données personnelles, et qu’elles gèrent également un parc applicatif souvent très important (télé-procédures, vidéosurveillance, stationnement, etc.). Ces traitements peuvent concerner des données sensibles au sens du RGPD (police municipale, aide sociale…), dont la sécurisation est un enjeu capital.

Focus sur certains points d’attention propres aux collectivités territoriales
Dans un premier temps, les collectivités doivent qualifier leur rôle au regard du traitement des données. Si elles sont a priori responsables des traitements qu’elles mettent en œuvre, elles sont susceptibles d’être coresponsables du traitement lorsqu’elle confie la gestion de ses traitements à un tiers. De ce fait, chaque collectivité doit disposer d’un registre listant les traitements qui ont lieu sous sa responsabilité.

Ensuite, elles devront anticiper et organiser la nomination d’un DPO, qui peut être, au besoin, mutualisé entre plusieurs collectivités mettant en œuvre des traitements similaires. Par exemple, entre plusieurs petites communes – et, le cas échéant, externalisé, notamment si la taille de la collectivité n’est pas suffisamment importante. Le DPO pourra être responsable de la tenue du registre des activités de traitement. La nomination du DPO pose des questions pratiques telles que les modalités de recours à une structure intercommunale dans l’hypothèse d’une mutualisation, ou encore la passation d’un contrat de prestation de service en cas d’externalisation.

De plus, il est important pour chaque collectivité de renforcer les clauses contractuelles avec les sous-traitants. Il faudra, pour elles, de s’assurer que les prestations en cours sont effectuées en conformité avec les dispositions réglementaires. Les collectivités devront vérifier et obtenir auprès de leurs fournisseurs, les garanties nécessaires sur leur niveau de sécurité. Quant aux commandes futures, elles devront inclure dans leur appel d’offres, des clauses relatives au respect des données personnelles.

De plus, lorsque le traitement des données s’effectue au moyen d’une nouvelle technologie et dans la mesure où la nature, l’importance, le contexte et les finalités du traitement pourraient conduire à un risque élevé pour les droits et libertés des personnes concernées, l’entreprise devra évaluer l’impact du traitement sur ces droits et libertés (AIPD). C’est le cas des collectivités qui utilisent la vidéosurveillance, les systèmes de lecture automatique des plaques d’immatriculation pour le stationnement, ou encore les télé services permettant la communication et l’envoi de documents entre administrations et administrés.

Pour finir, il est nécessaire pour toutes les collectivités de revoir l’ensemble des notices ou mentions d’information à destination de leurs administrés. En effet, avec le RGPD, des informations supplémentaires doivent y figurer, comme par exemple, le fondement juridique du traitement des données ou de la durée de conservation des données.

Le travail de mise en conformité au RGPD est donc considérable. Chaque collectivité doit définir les priorités des chantiers, et accompagner les différents services impactés dans ce projet de mise en conformité. Conscient des contraintes qui pèsent sur les collectivités, OpenField peut vous accompagner dans cette mise en conformité et vous fournir toutes les recommandations à mettre en place pour être prêt pour le RGPD. Envie de plus de renseignements ou de prévoir une analyse complète de votre établissement, contacter nos experts dès à présent.


Contact

OpenField S.A.

2, rue Léon Laval
L-3372 Leudelange, Luxembourg.

  • +352 26 250 1
  • +352 26 250 888
  • info[at]openfield[dot]eu

OpenField France SARL

Centre d'Affaires CESCOM
4 rue Marconi
F-57070 METZ
Bureau n° 312 - 3ème étage