The RGPD Final Countdown : 9 conseils pour vous préparer au mieux à ce Règlement

0

Nous vous en parlions il y a quelques temps déjà : le RGDP (Règlement Général sur la protection des données) ou encore GDPR (General Data Protection Régulation) entrera en vigueur dans moins d’un an, le 25 mai 2018. Le compte à rebours est donc lancé pour que votre entreprise s’adapte à cette nouvelle législation !

Consigne de lecture – cet article ne peut être lu sans écouter la chanson qui suit:

https://www.youtube.com/watch?v=9jK-NcRmVcw

Le RGPD vient modifier en profondeur le traitement et la conservation des données personnelles, véritable garantie d’une protection plus importante de la vie privée des citoyens européens, en accroissant la responsabilité des responsables de traitement vis-à-vis de celles-ci.

Focus sur ce règlement phare visant toutes les entreprises et sur comment préparer votre entreprise à amorcer le changement « RGPD » en quelques étapes clés ?

  • Petit rappel : qu’est-ce que le RGPD ? Quelles en sont les principales mesures ?

Le RGPD a été créé dans le but de renforcer les exigences concernant la protection des données personnelles des citoyens européens tant sur le traitement de ces données, que sur leur collecte, leur gestion ou leur stockage.

Il vient donc renforcer les directives datant de 1995 et créer un fondement commun aux 28 états membres de l’UE concernant la protection de ces données. Parmi ces mesures apparaissent le droit à l’oubli, la responsabilité (« accountability ») et transparence demandée aux entreprises quant aux données collectées ou encore l’obligation de notifier toute violation de données personnelles dans les 72 heures à l’autorité de contrôle (la CNIL, en France).

L’émergence du RGPD – Source : ZDNET – http://www.zdnet.fr/actualites/rgpd-les-entreprises-vont-devoir-massivement-investir-surtout-dans-le-secteur-de-la-sante-39838460.htm

Au-delà de tous les aspects précédemment cités, le RGPD engage aussi plusieurs autres critères à respecter :  comme, par exemple, le « Privacy By Design », concept qui oblige à la prise en compte de la notion de données personnelles dans les projets dès la conception d’une application ou base de données. Le but de cette dernière est de garantir le plus haut niveau possible de protection des données et ce pour chaque utilisation. Enfin, le règlement implique l’obligation de nommer un DPO (Data Protection Officer ou Délégué à la Protection des Données) dans certains cas prévus par celui-ci.

Dans le secteur public, cette obligation concerne à la fois les administrations centrales, les organes déconcentrés ou encore les collectivités territoriales. Concernant le secteur privé, les entreprises dont l’activité consiste en des traitements de données personnelles à grande échelle seront également tenues de désigner un tel délégué. Dans une économie de plus en plus tournée vers les données, cette obligation concerne ainsi de très nombreuses entreprises.

  • Comment se préparer à la transition RGPD, nos 9 conseils :

Votre entreprise commence sa transition ou n’a pas totalement effectué sa transition vers le RGPD ? Voici quelques conseils pour faciliter l’adaptation de votre structure à ces exigences :

1. SENSIBILISEZ VOS COLLABORATEURS

La première clé pour une adaptation réussie à la règlementation RGPD est de sensibiliser, et ce en amont de toute action, l’ensemble des personnes décisionnaires de votre entreprise à ce changement de loi. Qui de mieux que les salariés eux-mêmes pour vous aider à identifier quels pourraient être les freins de votre entreprise à une adaptation réussie ?

2. IDENTIFIEZ VOS DONNÉES SENSIBLES

Il est important dès à présent de cartographier les données à caractère personnel que vous détenez, d’identifier leur provenance et avec qui ces données sont ou seront partagées.

3. AUDITEZ VOS MACHINES SENSIBLES

Un travail d’audit régulier est conseillé dans ce sens : le RGPD exigera de garder une trace de toutes ces opérations suivant le principe de transparence et de conformité (« accountability principle »).

Pour ce faire, notre solution de gestion des vulnérabilités IKare vous permet de suivre de plus près vos machines sensibles à l’aide de ses nouvelles fonctionnalités orientées RGPD. (Téléchargez la version gratuite ici )

Il est également conseillé aux entreprises de suivre les normes et bonnes pratiques de sécurité de l’Information au sein même de leur organisation et de prouver leur bonne foi en cas de contrôle des autorités concernées. Dans ce sens, une organisation peut, par exemple, mettre en place un Système de Management de la Sécurité (certification ISO 27001).

4. AUTOMATISEZ LES AVERTISSEMENTS ENVERS VOS CLIENTS

Assurez-vous également que vos avertissements concernant la collecte potentielle de données personnelles soient à jour. Pour ceci, vous devez bien prévenir les clients du but de cette collecte et de leurs droits les concernant (droit d’opposition, de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité et d’accès concernant ces données). N’oubliez pas d’actualiser les accords déjà existants s’ils ne respectent pas le Règlement.

5. FAITES ATTENTION AUX SPÉCIFICITÉS DE VOS CLIENTS

Réfléchissez aussi à un processus qui aura pour but d’identifier les spécificités de vos clients, par exemple pour l’âge de ces clients. En effet, tout individu ayant moins de 16 ans a une protection et un statut particulier grâce au RGPD : il sera donc interdit de stocker ses données personnelles sans autorisation d’une personne titulaire de l’autorité parentale.

6. NOTIFIEZ DES VIOLATIONS DE DONNÉES

Assurez-vous d’avoir bien mis en place les procédures nécessaires pour détecter, identifier toute violation des données personnelles : si une violation est bien effective, vous aurez alors 72 heures pour en notifier la CNIL. Si la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, il faudra aussi notifier les personnes concernées dans les meilleurs délais (voir notre 3ème conseil pour l’audit des machines sensibles pour éviter les failles de sécurité qui pourraient générer une violation de données, où vous pourrez télécharger la version gratuite de notre solution Ikare).

7. AMÉLIOREZ VOS PROCESS DE TRAITEMENT DES DEMANDES CLIENTS

Prendre en compte la façon avec laquelle vous choisirez d’interagir avec les clients, par exemple, dans le cas d’une demande de suppression de données personnelles, sera tout aussi important. Pensez à analyser si la structure actuelle de votre organisation vous permet de gérer ces demandes (droit d’accès, droit d’opposition, droit de rectification et d’effacement, droit à la limitation du traitement, droit à la portabilité), et quelles mesures organisationnelles prendre pour pouvoir le faire. Il est à rappeler que vous devez répondre dans les meilleurs délais et en tout état de cause vous disposerez d’une délai d’un mois (et non plus 40 jours comme aujourd’hui) pour accéder à toute demande effectuée. Ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes (information de la personne concernée et motifs du report dans un délai d’un mois).

S’il n’est pas possible de répondre favorablement à la demande d’un client concernant ses données personnelles, vous devrez le prévenir (là aussi dans un délai maximal d’un mois) et les informer de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

8. REPÉREZ LES AUTORITES CONCERNEES

Si votre entreprise opère dans plusieurs pays membres de l’Union Européenne, vous devrez bien identifier quelle est l’autorité de contrôle dont vous dépendez (en fonction du pays où votre siège social se trouve) : en France, par exemple, il faudra donc vous tourner vers la CNIL.

9. GÉREZ LES RISQUES POUR VOTRE ENTREPRISE EN CAS DE NON-RESPECT DU RGPD

Si votre entreprise n’applique pas à temps les mesures mises en place dans un peu moins de 10 mois, les risques encourus peuvent être colossaux et dramatiques pour votre structure, au-delà des problèmes d’image qui affecteront votre organisation.

En effet, vous encourrez d’importantes sanctions administratives qui pourront vous être infligées par les autorités nationales compétentes, passant par des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

La bonne application des politiques et procédures mises en place dans le cadre du Règlement Général de la Protection des Données est donc essentiel tant en termes d’image qu’en termes financiers pour votre entreprise : il vous reste moins d’un an pour suivre nos conseils, alors à vos données, prêts, partez !

 

Share.

About Author

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply