CONFIANCE NUMÉRIQUE

Règlement général sur la protection des données (GDPR) : PME, où en êtes‐vous ?

Publié le 10/07/2018

 

Le règlement général sur la protection des données (General Data Protection Regulation ou GDPR) entrera en vigueur le 25 mai 2018. Son objectif : renforcer le cadre juridique relatif à la protection des données à caractère personnel dans l’Union européenne à travers plusieurs mesures visant à responsabiliser les acteurs – grands groupes, start‐up ou PME – qui travaillent avec ce type de données.

 

Alors qu’il reste moins d’un an aux entreprises pour se mettre en conformité, sous peine de lourdes sanctions, elles sont encore nombreuses à ne pas avoir pris la mesure des aménagements à mettre en place. Mais de quoi s’agit-il exactement ? Êtes‐vous concerné ? Comment vous mettre en conformité ? Nous faisons le point.

Cours accéléré sur la gestion de votre sécurité : les clés d’une sécurité optimisée

La façon dont vous gérez la sécurité de vos données et de vos appareils est une priorité absolue dans un contexte de cybermenace en constante évolution.

Télécharger

C’est en avril 2016 que le Parlement européen a adopté le règlement général sur la protection des données (General Data Protection Regulation, GDPR). Applicable dès le 25 mai 2018 dans tous les Etats membres, il est « obligatoire dans tous ses éléments » et devra être respecté indépendamment de la taille de l’entreprise : autrement dit, les PME devront se mettre en conformité au même titre que les grands groupes et ce, même si la donnée n’est pas leur cœur de métier. L’application du GDPR est extraterritoriale, c’est-à-dire que les entreprises établies hors de l’UE traitant des données relatives aux activités des organisations de l’Union et les sociétés non‐européennes ciblant les résidents de l’UE sont, elles aussi, concernées.

 

 

 

Quelles sont les principales dispositions du GDPR ?

 

Le GDPR permet d’harmoniser les règles relatives à la protection des données personnelles, évitant ainsi la fragmentation des lois nationales. Il est né de la volonté de permettre aux citoyens d’exercer davantage de contrôle sur leurs données. Cela passe par plusieurs mesures concrètes :

  • l’instauration d’un consentement « explicite » et « positif » en amont de l’exploitation des données personnelles ;
  • le droit à l’effacement, dans les meilleurs délais ;
  • le droit à la portabilité : l’entreprise doit pouvoir envoyer leurs données aux citoyens qui en font la demande, dans un format structuré et couramment utilisé, ou les transmettre directement à un autre fournisseur de services si c’est le choix de la personne concernée,
  • le droit d’être informé en cas de piratage ;
  • des exigences strictes en matière de protection, avec notamment une règle de « sécurité par défaut », qui impose à toute organisation de disposer d’un système d’information sécurisé ;
  • mais aussi la nomination d’un délégué à la protection des données ou la publication des politiques relatives à la vie privée dans un langage clair et compréhensible.

 

Les entreprises qui ne respecteront pas ces différentes mesures risqueront une amende pouvant s’élever jusqu’à 4 % de leur chiffre d’affaires mondial annuel.

-> Consultez le texte intégral sur le site de la CNIL.

 

Microsoft 365 : Solution sécurisée complète réunissant Office 365, EMS et Windows

Découvrez comment, avec Office, EMS et Windows, vous pouvez offrir à vos utilisateurs davantage de liberté et d’autonomie dans leur façon de travailler et collaborer, sans sacrifier la sécurité.

Télécharger

 

Le compte à rebours est enclenché

 

Selon une étude IDC, en mai 2017, 77% des décideurs informatiques n’étaient pas conscients de l’impact du GDPR sur l’activité de leur entreprise ou n’avaient même pas connaissance de ce règlement… Et nombreuses étaient les petites entreprises à reconnaître que leur dispositif de sécurité actuel était insuffisant, alors qu’il s’agit de l’un des points essentiels du GDPR et que, parallèlement, les menaces évoluent en permanence et les attaques informatiques s’intensifient toujours davantage.

 

Pourtant, l’urgence est là. Et, pour Marc Mossé, directeur des affaires juridiques chez Microsoft Europe, il est essentiel de bien s’entourer :

 

 Il faut s’assurer que ce règlement, qui est parfois un peu complexe, soit accompagné d’explications, notamment pour les PME. Pour les grands groupes, on va s’adapter : on investit déjà beaucoup pour être parfaitement conformes au règlement lorsqu’il sera en vigueur en 2018. Mais il va falloir aider les PME pour qu’elles soient complètement dans le nouveau modèle.

 

Gestion de la sécurité de Microsoft 365

Découvrez les différentes fonctions et solutions qui peuvent aider les entreprises à obtenir la visibilité, le contrôle et les conseils dont elles ont besoin pour gérer leur sécurité.

Regarder

 

La CNIL propose un plan d’action en six étapes. La première est de nommer un délégué à la protection des données, c’est-à-dire un pilote qui orchestrera les actions à mener en interne. C’est lui qui pourra notamment cartographier vos traitements de données, et vous permettra ainsi de mesurer plus précisément l’impact du GDPR sur votre activité et de prioriser les actions à mener.  Si vous identifiez des traitements susceptibles d’engendrer des risques élevés, vous devrez enclencher une étude d’impact sur la protection des données (PIA).

 

Il est également nécessaire d’organiser les processus internes, rappelle la CNIL, puisque ce sont eux qui permettront d’assurer un haut niveau de protection des données, en permanence. Enfin, il est essentiel de documenter votre conformité, afin de pouvoir, si besoin, examiner et compléter les documents retraçant les actions menées.