“FIC2018”

RGPD : moins de 100 jours pour vous mettre en conformité

0

Le RGPD (Règlement Général de la Protection des Données) est aujourd’hui sur toutes les lèvres. Son entrée en vigueur, le 25 mai prochain, suscite des inquiétudes au sein des entreprises, notamment au sein des PME et TPE. Celles-ci voient, pour la plupart d’entre elles, le RGPD comme une réelle contrainte, et ce sur plusieurs aspects (financiers, logistiques…).

En cause : l’ampleur du chantier à mettre en œuvre pour atteindre la conformité avec ce nouveau règlement. A moins de 100 jours de cette date butoir, marquée par la seconde édition de la Journée européenne de la protection des données (le 28 janvier dernier), le 25 mai est vu, pour beaucoup, comme une date « couperet » et finale – et les sanctions associées à cette loi comme une évidence en cas de non application totale et immédiate du règlement.

Nous le verrons dans cet article, le RGPD, au-delà d’être une contrainte, est aussi une vraie opportunité, l’occasion d’améliorer l’exploitation de vos données ou encore de renforcer l’image de votre entreprise en maîtrisant mieux votre relation client. Nous traiterons aussi des échéances de cette règlementation, véritable inquiétude pour nombre d’entreprises mais aussi de comment appliquer au mieux cette règlementation au plus vite.

  • Règlement Général de la Protection des Données, petit rappel :

Comme nous le présentions il y a peu, le RGPD, prenant en compte l’évolution des technologies et des usages depuis plus de 20 ans, a été créé dans le but de renforcer et compléter les exigences concernant la protection des données personnelles des citoyens européens tant sur le traitement de ces données, que sur leur collecte, leur gestion ou leur stockage.

Il vient donc renforcer les directives datant de 1995 et créer un fondement commun aux 28 états membres de l’UE concernant la protection de ces données. Parmi ces mesures apparaissent le droit à l’oubli, la responsabilité (« accountability ») et transparence demandée aux entreprises quant aux données collectées ou encore l’obligation de notifier toute violation de données personnelles dans les 72 heures à l’autorité de contrôle (la CNIL, en France).

  • RGPD, malgré tout une réelle opportunité :

Si le nombre de contraintes amenées par le RGPD peut paraître colossal, il faut aussi et surtout se rappeler qu’il est gage de réelles opportunités pour les entreprises. En effet, il vous permettra, par exemple, de :   

  • Cartographier vos données : le RGPD sera l’occasion d’identifier les données et traitements que vous pourrez mieux valoriser, les données qu’il sera utile ou non de collecter au futur et de mettre en place des process efficaces et légaux pour ce faire.
  • Améliorer l’image de votre entreprise auprès de vos clients : le RGPD vous permettre d’instaurer une réelle confiance avec vos clients, grâce à la transparence dont vous ferrez preuve quant au traitement de leurs données.
  • Former et sensibiliser vos collaborateurs : tous vos collaborateurs seront potentiellement amenés à traiter des données sensibles. Alors pourquoi passer du temps à mettre en place des dispositifs techniques poussés sans même en informer son personnel, et sans même que vos collaborateurs ne soient conscients des enjeux de conformité auxquels votre entreprise fera face ?

Du service marketing (cookies, opposition au profilage…) au service du DSI, le traitement et la collecte de données touche l’intégralité des strates de votre entreprise. Cette formation et sensibilisation pourra passer par de la communication interne mais aussi des formations menées par des experts en sécurité et RGPD. Par ailleurs, cette sensibilisation pourra aussi être au cœur des missions du fraichement nommé DPO (délégué à la protection des données) en interne.

Avant même de parler d’échéance il est donc important que vous preniez conscience de tous les bienfaits que le RGPD pourra apporter à votre entreprise : ce règlement, s’il reste conséquent à mettre en place, n’est pas une simple contrainte. Il est certes, bénéfique pour les droits des citoyens européens sur leurs données personnelles et leur traitement et collecte, mais aussi, même si cela n’apparait pas au premier coup d’œil, une vraie opportunité pour les entreprises.

  • Des accompagnements et formations au RGPD existent :

Pour ce qui est de la complexité de ce règlement, il est aussi important de savoir que, pour mettre en place votre transition RGPD, vous disposez d’un grand nombre d’aides et formations.

ITrust propose par exemple des accompagnements personnalisés au RGPD et met cette règlementation au cœur de ses produits, pour, une fois le RGPD adopté, que vous puissiez le mettre en place au quotidien. En effet, Ikare, scanner de vulnérabilités d’ITrust, est aujourd’hui doté de fonctionnalités orientées RGPD, permettant ainsi de cartographier les machines sensibles.

Enfin, il est utile de savoir que la CNIL est aussi à l’écoute des entreprises quant au RGPD. Celle-ci vient de mettre en place un guide pour les sensibiliser et les accompagner dans la mise en œuvre concrète de leurs obligations. Celui-ci se compose de différentes fiches expliquant démarches et règles à mettre en place au sein de votre entreprise. En fin de guide, une évaluation du niveau de sécurité des données personnelles est proposée. L’intégralité du guide peut être consultée ou téléchargée ici.

  • 25 mai 2018 : une date couperet ?

Si le 25 mai 2018 a été donné comme date butoir à la mise en vigueur du RGPD – cette échéance, comme expliqué par le nouveau secrétaire général de la Cnil, Jean Lessi, ne doit pas être perçue comme une date couperet, mais comme une étape : il convient tout de même de s’y préparer dès maintenant et de montrer votre bonne volonté à adopter le RGPD au plus vite.

Le RGDP est un texte dense qui introduit de nouveaux principes et de nouvelles obligations : il est aujourd’hui, dû à sa complexité, une réelle angoisse mais aussi une priorité pour les entreprises.

A moins de 100 jours de l’échéance donnée par les autorités compétentes pour sa mise en vigueur, il est donc à noter que celui-ci doit aussi être vu comme une véritable chance de tirer profit de ces nouvelles règlementations et pourrait devenir, pour vous une opportunité de choix dans une optique business.

Il est aussi à noter qu’ITrust peut aussi vous accompagner dans votre transition au RGPD à travers des audits de conformité : l’objectif de cet audit est de faire un état des lieux vis-à-vis des exigences RGPD pour ensuite proposer un plan d’action pour votre mise en conformité.

Ainsi, ITrust pourra aussi mettre les compétences de ses experts en sécurité au service de la mise en conformité de votre entreprise pour appliquer ce plan d’action (mesures juridiques, organisationnelles et techniques…). ITrust peut par exemple vous proposer des accompagnements complets et des plans d’actions personnalisés concernant :

  • Politique de la vie privée et articulation entre les différents acteurs (dont le DPO) : Accountability, internet, charte informatique, mise à jour des contrats…
  • Processus organisationnels tout au long du cycle de vie du traitement. Exemples : privacy by design, effacement des données personnelles, procédure en cas d’exercice du droit des personnes d’accès à leurs données.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply