MISE À JOUR D’APM V19 : RGPD, DPO, SSON

Le mercredi 4 octobre 2017 APM a été mis à jour en version 19, elle est principalement axée vers le RGPD qui entrera en vigueur en 2018. APM est à présent totalement à jour avec le RGPD sauf pour quelques points pour lesquels nous attendons encore des informations de la part de la CNIL.


Sommaire


Les DPOs vont remplacés les CILs à partir de l’année prochaine mais un CIL n’est pas un DPO et ne deviendra pas automatiquement un DPO. Il est donc nécessaire dans APM d’avoir les 2 notions le temps de la migration vers le RGPD.



L’ajout du DPO dans APM se traduit par l’ajout:

  • Sur la fiche intervenant d’une case à cocher DPO en plus de la case CIL.
  • Sur la fiche structure et traitement de la possibilité de désigner un DPO en plus dun CIL.
  • Le DPO a exactement les même droits que le CIL
  • Une procédure accessible en page d’accueil permet de désigner un DPO et de migrer les traitements.



Afin de faciliter la future migration du CIL vers le DPO un utilitaire de migration a été mis en place.
Sur la page d’accueil un message d’information apparaît si:

  • l’utilisateur est admin ou CIL ou DPO
  • si au moins une structure dispose d’un CIL et pas d’un DPO




Dans ce cas l’utilisateur peut en quelques clics convertir le CIL en DPO, le paramétrage effectuée automatiquement est :

  • Le nouveau DPO devient DPO (case cochée sur son profil)
  • Le CIL est supprimé de la structure et le DPO est ajouté
  • Tous les traitements activées de la structure sont mise à jour avec le remplacement du CIL par le DPO.



Le RGPD a ajouté la notion de personnes concernées mineures, dans ce cas il est nécessaire d’informer le DPO de :

Certaines personnes étant mineures au moment de la collecte d’informations, toute information et communication, lorsque le traitement les concerne, doivent être rédigées en des termes clairs et simples que l’enfant peut aisément comprendre. Il est nécessaire de vérifier que le consentement est donné ou autorisé par le titulaire de l’autorité parentale à l’égard de l’enfant.



En conséquence sur l’onglet “Finalités du traitement” une nouvelle case à cocher apparaît : “Une ou plusieurs personnes concernées sont-elles des personnes mineures ?”. Si elle est sélectionnée alors le texte d’information ci-dessus apparaît sur l’onglet “Gestion des droits des personnes”



Le RGPD a ajouté la notion de droit à la portabilité des données. Pour que ce droit s’applique il est nécessaire de:

  • Onglet “Type de traitement”: le traitement doit être automatisé
  • Onglet “Base juridique du traitement”: soit on a le consentement de la personne concernée, soit le traitement est nécessaire à l’exécution d’un contrat
  • Onglet “Données traitées”: une de ces 3 origines est sélectionnées :
    • Collecte directe de données auprès de la personne concernée
    • Collecte directe de données par procédés automatisés, basé sur le consentement de la personne ou traitement nécessaire à l’exécution d’un contrat
    • Collecte de données par voie électronique

Si ces 3 conditions sont remplis alors dans l’onglet “Gestion des droits des personnes” le droit à la portabilité apparaît. Tant que la case “La personne peut recevoir ses données dans un format structuré, couramment utilisé et lisible par machine” n’est pas cochée, une alerte apparaît.



Ajout d’une option dans “Organisation -> Configuration” permettant d’activer ou non le registre sous-traitant. Par défaut il est désactivé. Lors de la mise à jour il sera automatiquement activé pour les comptes APM ayant déjà des traitements dans le registre sous-traitant.

Avant, une fiche de traitement dans le registre sous-traitant n’était associée qu’à un seul client, il fallait donc créer une fiche par client.

Ce point a été revu : il est à présent possible d’associer plusieurs clients à une même fiche de traitement.

Nous somme allez plus loin et nous avons ajouté la notion de “catégorie de clients”. Alors que le client est une entité juridique précise (avec un numéro de siret), la catégorie permet de cibler un ensemble de client ( par exemple : les clients de l’offre APM SAAS ). L’objectif ici est d’avoir une seule fiche de traitement qui cible plusieurs clients et qu’il n’est pas nécessaire de modifier à chaque arrivé d’un nouveau client.

L’onglet Qualification du traitement qui permet de qualifier le traitement (NS, Déclaration …) est encore présent. Cette notion n’existe pas dans le RGPD mais pour le moment on n’a pas encore d’informations précises sur :

  • Qu’est ce qui est un traitement sensible pour le RGPD ?
  • Que vont devenir les Norme Simplifiées et les autres régimes ?

L’onglet “Conditions de licéités” a été renommé en “Base juridique du traitement”.

L’option permettant de copier un traitement existait déjà. Elle a été améliorée et il est à présent possible de copier un traitement sur plusieurs structures. Si vous sélectionnez 3 structures, 3 copies du traitement seront créées, une par structure.



L’authentification CAS/SSO permet aux utilisateurs d’être automatiquement authentifié sur APM si ils se sont authentifiés sur une autre application utilisant le même serveur d’authentification.

L’activation de l’authentification CAS se fait dans le fichier de configuration et il n’est possible de l’utiliser que sur les blackbox et que si il n’y a qu’une seule organisation sur le compte APM.
En effet l’authentification étant automatique il n’est pas possible de choisir une organisation.

Dans la fiche des traitements, onglet “Données traitées”, le listing des données n’est plus obligatoire.



APM a été traduit en Italien et en Espagnol. ActeCil est ouvert à d’autres langues si vous en avez le besoin, n’hésitez pas à nous contacter.

ActeCil a mis à dispositions de tous les utilisateurs d’APM un document décrivant les points clés à appliquer lors de la mise en application du Privacy By Design.




accueil Blog Actu-CIL