RGPD : 5 points essentiels pour être conforme au Règlement Européen sur la Protection des Données

Le nouveau Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) sera mis en application à partir de Mai 2018. De nouvelles obligations de sécurité et confidentialité vont donc très bientôt s’appliquer aux organisations manipulant des données personnelles. Dès maintenant, il est nécessaire de s’y préparer pour respecter les nouvelles obligations de sécurité sur les données personnelles. Découvrez les grandes lignes du RGPD et nos recommandations pour être conforme d’ici Mai 2018 !

Le challenge de la mise en conformité au GDPR

Actuellement, les règlements de protection des données personnelles en Europe ne sont pas harmonisés par l’UE. La directive 95/46/EC de l’Union Européenne datant de 1995 impose une certaine régulation à ce jour mais chaque État en a fait une interprétation bien spécifique. L’objectif principal de la RGPD ou GDPR est l’harmonisation de la politique de protection des données en entreprise. Ce nouveau règlement longuement développé prend donc en compte les récentes évolutions technologiques en entreprise telles que l’intégration des infrastructures Cloud par exemple.

Une réglementation complète sur la gestion des données

Chaque entreprise et organisation traitant des données de résidents Européens devra désormais obéir à un nouvel ensemble de règles en matière de sécurité des données que l’entreprise soit implantée ou non en Union Européenne.

Ces nouvelles règles concernent globalement 4 domaines à identifier et bien définir :

• Acquisition et traitements des données
• Stockage et backup des données en entreprise
• Sécurisation des informations
• Droits des individus à consulter, rectifier ou refuser la collecte des données

Un responsable devra donc désormais être désigné pour veiller à la bonne mise en œuvre de ce nouvel ensemble d’obligations de protection des informations personnelles : le délégué à la protection des données (DPO).

Nous mettons à votre disposition l’intégralité du règlement relatif à la protection du traitement des données personnelles en téléchargement : 

Télécharger le RGPD – GDPR

La principale difficulté de ce nouveau projet est de pouvoir développer un cadre général de confidentialité permettant d’identifier et de comprendre où se trouvent les données et par quelles voies elles transitent. Il est en effet essentiel de « matérialiser » les voies de traitement des données afin de pouvoir définir quels sont les personnes ayant accès à la consultation ou modification de ces informations dans le but de toujours avoir un contrôle total face à une possible fuite de données.

Adapter sa politique de sécurité pour éviter les sanctions

Autre élément phare du GDPR, la notification publique des violations en cas de fuite de données. Jusque-là les entreprises Européennes contrairement à celles d’outre atlantique n’avaient pas l’obligation de dévoiler les pertes de données personnelles. Désormais toute perte d’informations personnelles devra être signalée dans un délai maximum de 72 heures. Il est donc essentiel de pouvoir identifier de manière quasi immédiate une violation des accès aux données ou une fuite possible.

La non-conformité au règlement RGPD peut coûter jusque 4% du chiffre d’affaires annuel mondial ou 20 millions d’€ pour l’entreprise fautive ! [Copyright Coreye]

L’application de ces bonnes pratiques permettra donc à l’entreprise d’anticiper et de se préparer à réduire les risques tout en limitant le coût de la mise en conformité.

Recommandations aux entreprises pour se conformer au RGPD

1 – Impliquer l’ensemble de votre entreprise

La mise en œuvre du RGPD doit être décidé au plus haut niveau hiérarchique de l’ensemble de l’entreprise et appliqué en coopération par l’ensemble de l’organisation. Il est essentiel de définir un groupe restreint de gouvernance des données qui sera principalement compos de la Direction du Système d’Informations DSI, du Responsable de la Sécurité des Systèmes d’Informations RSSI et du Délégué à la Protection des données.

2 – Identifier et contrôler les données exploitées

Savoir identifier les données qui sont collectées, les données que vous traiterez et dans quelles conditions mais aussi le niveau d’obsolescence de vos données. En effet, il est primordial de savoir quelles sont les données dont vous avez besoin et celles dont vous n’avez plus besoin. Mettre en place un système de suppression total des données est donc nécessaire afin d’avoir l’esprit tranquille face à une possible copie restante.

3 – Visualiser les flux de données personnelles dans votre organisation

Connaitre le parcours des données personnelles collectées dans votre entreprise vous permettra de monitorer la gestion des informations. Une bonne vision du traitement des données vous assurera la mise en place d’une politique de sécurité fiable et un contrôle total sur la protection des informations sensibles. Entre autres, pouvoir identifier et contrôler les accès à certains espaces contenant des informations personnelles est essentiel.

4 – Vérifier et tester votre modèle de protection et son niveau de sécurité des informations

Le niveau de sécurité des procédures doit être suffisamment élevé pour protéger les informations et éviter les pertes de données. La question des accès est encore une fois une priorité pour mettre en place une bonne politique de sécurité. Malheureusement encore trop d’entreprises ne contrôlent pas correctement les accès aux applications et espace s de stockage alors que ceci peut être facilement mis en place grâce à un système tel que Azure Active Directory AD par exemple.

5 – Mettre en place un processus de notification de violation des données

Le GDPR impose la mise en place d’un processus de notification en cas de violation. Votre entreprise doit donc être en mesure de déterminer les conséquences d’une faille de sécurité avec un délai de notification de 72 heures, ce qui est vraiment peu… Il faut donc mettre en place un système d’alerte efficace qui vous permettra dès les premières heures de comprendre d’où vient la faille, quelle est la nature des données impactées et le volume d’informations touché.

Vous l’aurez compris, le règlement GDPR est l’affaire de toute l’entreprise. Ce nouvel élan doit être vu comme une opportunité de redéfinir les processus de sécurité existants afin d’appliquer un nouveau modèle de confidentialité global. De nombreux outils et solutions de gestion de la sécurité des données existent et faciliteront grandement l’application de ce nouveau règlement. Vous pouvez par exemple déployer une politique de protection afin de sécuriser vos données grâce à SharePoint et Onedrive Business.

Kim

Passionné par les nouvelles technologies depuis toujours, j’ai croisé un jour la route du marketing et ne l’ai jamais quitté depuis ! Jeune recrue dans l’aventure Openhost, je mets aujourd’hui mes compétences à disposition pour développer la visibilité de l’entreprise sur le web.

Articles similaires :