Le 25 mai prochain, le Règlement Général sur la Protection des Données (RGPD) entre en application. Validé en 2016, il renforce la protection des citoyens et accentue par conséquent les obligations de toutes les entreprises. Quelles que soient leur taille et leur activité, elles doivent dès à présent s’organiser pour être en conformité.

 

 

 

Le RGPD renforce les droits et protections de tous les citoyens européens. Quelles que soient leur activité et leur taille, toutes les entreprises doivent mettre en place sans plus tarder différents processus et sensibiliser leurs salariés à la sécurité informatique.

Si un piratage informatique de son réseau informatique entraîne une fuite de données à caractère personnel, l’entreprise devra en effet avertir la CNIL sous 72 heures. Cette notification devra être faites dès qu’elle aura constaté cette intrusion malveillante. Passé ce délai ou si elle n’avertit pas cet organisme, la PME devra s’acquitter d’une amende. L’article 83.6 du RGPD précise que cette sanction peut atteindre jusqu’à 4 % du chiffre d’affaires mondial annuel. Mais évidemment, elle ne concerne pas les TPE-PME. Les juges tiendront compte en effet des moyens et compétences des entreprises.

Or, le sujet est vaste et problématique à cause notamment de la définition d’une « donnée à caractère personnel ». Pour schématiser, il s’agit d’une donnée permettant d’identifier une personne : nom, âge, lieu de naissance, numéro de Sécurité sociale, les images issues de la vidéosurveillance… Cela concerne donc les fichiers clients et prospects, mais aussi les informations sur les salariés, intérimaires, stagiaires… Mais il y a aussi des « données brutes » (Data en anglais) comme l’historique de navigation ou des « likes » sur les réseaux sociaux et les enseignements qu’on en retire comme des préférences déduites de cette navigation et de ces « likes ».

Le RGPD est donc un chantier très important pour toutes les entreprises. Au-delà de l’aspect réglementaire, ce texte européen doit être l’occasion d’appliquer quelques solutions majeures (et qui vont au-delà de la protection des données à caractère personnel) :
– des techniques de chiffrement des données et des connexions (stockage et échanges) ;
– l’authentification forte (certificat électronique, carte à puce…) ;
– des solutions permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
– des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Enfin, le RGPD implique aussi vos sous-traitants. Ils sont tenus :
– de mettre en place des mesures permettant de garantir une protection optimale des données ;
– de tenir un registre des activités de traitement effectuées pour le compte de leurs clients ;
– de conseiller leurs clients pour le compte desquels ils traitent des données.

 

C’est pour répondre précisément à cette problématique que SecuriteOff propose des audits de conformité avec le RGPD ainsi que des formations.