Le nouveau règlement européen sur la protection des données à caractère personnel, plus connu sous le sigle RGPD (ou GDPR en anglais) est entré en vigueur en mai 2018. Il a un impact certain sur le quotidien des entreprises, petites ou grandes, contraintes d’opérer des changements parfois significatifs dans leur gestion des informations, leur approche de la protection et de la sécurisation des données personnelles qu’elles sont amenées à traiter.
Or, malgré l’énorme battage médiatique, force est de constater qu’un an après son entrée en vigueur, le règlement est loin d’être complètement ou correctement mis en œuvre dans nombre d’entreprises.
De plus, face à la complexité de la réglementation, certaines entreprises se contentent de limiter leur exposition au risque plutôt que de viser une pleine conformité. Et elles s’exposent de ce fait à des amendes pouvant atteindre jusqu’à 4% de leur chiffre d’affaires.
Les bases du RGPD
L’objectif de cet article n’est pas d’expliquer les tenants et aboutissants de la nouvelle réglementation. De très nombreuses publications sont parues sur le sujet. Le site de l’APD (Autorité de Protection des Données) devrait répondre à toutes les questions que vous pourriez vous poser. Il propose un certain nombre de dossiers thématiques ainsi qu’un plan de préparation en 13 étapes.
Droit des personnes
Pour rappel, le RGPD s’applique à toute entreprise traitant des données à caractère personnel de citoyens européens. La notion de donnée est étendue tout comme les droits des personnes concernées (accès, rectification et suppression ou encore portabilité des données).
Responsabilité des entreprises
Le respect et la sécurisation de ces données à caractère personnel sont de la responsabilité de tous ceux qui y ont accès et les traitent (y compris les sous-traitants). Il est donc important de mettre en place des processus de contrôle pour éviter toute infraction ou violation des droits des personnes.
A toutes fins utiles, la CNIL publie une méthodologie en 6 étapes pour se conformer au RGPD.
Impact du RGPD sur la gestion IT
Quel que soit votre secteur d’activité, vos services IT traitent un grand nombre de données à caractère personnel (informations sur les visiteurs, les utilisateurs, les prospects, les clients, les employés, les fournisseurs, …).
Pour se conformer à la législation RGPD, les entreprises doivent pouvoir démontrer qu’elles traitent les données personnelles de manière sûre et communiquer de manière transparente sur l’utilisation qui en est faite.
Rappelons 7 points clés qui ont un impact sur la gestion informatique :
- L’obligation d’informer : communiquer précisément quelles données sont collectées et à quelles fins, qui est impliqué dans le traitement, la durée de conservation et d’éventuels partages avec des tiers.
- Le droit à l’oubli: identifier rapidement les données personnelles traitées et procéder à leur modification ou suppression sur demande.
- Le droit à la portabilité : obligation de restituer à un client l’ensemble des données personnelles le concernant, dans un format numérique aisément réutilisable.
- Le concept de « privacy by design »: qui implique de ne collecter que ce qui est nécessaire, de sécuriser les données tout au long de leur cycle de vie et d’effacer les données non nécessaires.
- Registre d’activité : chaque entreprise doit tenir un registre du traitement des données et, dans certains cas, nommer un responsable (DPO).
- Notification en cas de violation : en cas d’incident de sécurité, le GDPR impose une notification dans un délai de 72h et oblige l’entreprise à prendre des mesures pour y remédier et apporter des garanties quant au risque de répétition de l’incident.
- Analyse d’impact : avant tout nouveau projet, le RPGD impose aux entreprises d’évaluer les risques liés au traitement des données.
Tout cela implique de suivre vos données à caractère personnel tout au long de leur cycle de vie, de la collecte au stockage, des échanges à la suppression.
Nouveaux principes de gouvernance IT
Par la force des choses, les directions informatiques doivent prendre des mesures concrètes pour se mettre en conformité avec le RGPD. Pour rappel, elles doivent :
-
- Renforcer leur politique de gestion des données: ce qui implique d’identifier où sont stockées les données personnelles, d’en assurer la traçabilité (pour suivre et gérer leur utilisation), de définir une politique de sécurité et de sensibiliser les collaborateurs au traitement sécurisé des données.
- Sécuriser et contrôler l’accès aux données: dès que vous manipulez des données personnelles, vous pouvez avoir à rendre des comptes. Le partage d’informations n’est jamais sûr à 100%. Mettre en place des systèmes de permission d’accès basés sur des rôles, selon les besoins et l’usage réel est un minimum.
- Surveiller les flux de données à caractère personnel (DCP) : Surveillance constante, telle est la nouvelle règle, pour éviter les fuites, les activités suspectes ou les incidents de sécurité potentiels. Ce qui implique d’adopter des outils adéquats, surtout en matière de collaboration et partage de fichiers, de verrouillage de l’accès aux informations sensibles, etc.
Consciente de l’enjeu que représente la protection des données personnelles, Rentys attache une grande importance à la conformité au GDPR. Pour toute question relative au traitement de vos données à caractère personnel, nous vous invitons à consulter notre Politique de confidentialité & Protection de la vie privée