7 points pour assurer sa conformité avec le GDPR

Cybersécurité
Cybersécurité

Temps de lecture : 5 minutes

Publié le 17 novembre 2017

La date du 25 mai 2018 étant passée, PME, grandes entreprises, start-up… toutes les organisations doivent être en conformité avec le Règlement Général sur la Protection des Données (RGPD ou GDPR, 2016/679), adopté le 14 avril 2016 par le Parlement européen. Objectif ? Renforcer la sécurité des données personnelles et contrôler plus efficacement les manquements au règlement. En sept points, nous vous proposons de mieux comprendre le RGPD : à qui s’adresse-t-il, comment s’y conformer et comment transformer cette nouvelle législation en avantage concurrentiel.

1/ Qu’est-ce que le RGPD ?

Le RGPD a pour principale vocation de renforcer la protection et la confidentialité des données personnelles de chaque citoyen européen. Cette nouvelle législation – qui remplace la Directive sur la protection des données personnelles de 1995 – s’avère riche en améliorations. Effectivement, qu’il s’agisse de prévention, de protection ou de transparence, le RGPD a été pensé pour instaurer un contrôle plus poussé quant à la collecte et l’usage des données et une réactivité plus optimisée en cas de fuite de celles-ci.

Cette nouvelle réglementation intervient dans une double conjoncture. D’un côté, une forte progression des volumes de données, avec 40 zettaoctets d’ici 2020. De l’autre, des cyber-menaces de plus en plus nombreuses et de plus en plus sophistiquées.

2/ Qui est concerné ?

Contrairement à ce que l’on pourrait penser, le RGPD ne s’arrête pas aux frontières de l’Union européenne. De même, il ne s’adresse pas uniquement aux entreprises et aux organismes possédant des données sensibles relatives à la santé ou à la finance. Sont concernés par le RGPD l’ensemble des entreprises et autres organismes traitant ou stockant tout type de données à caractère personnel (noms, adresses, numéros de téléphone et de compte, adresses e‑mail et IP, etc) issues de citoyens de l’UE.

Ainsi, la localisation géographique des détenteurs des données n’entre pas en compte et si une entreprise souhaite sous-traiter la gestion des données qu’elle a acquise, elle doit s’assurer que cela s’effectue dans le respect du RGPD. Enfin, les sociétés établies hors de l’Europe sont également soumises au règlement dans la mesure où elles proposent des biens et des services aux résidents de l’UE, ou les ciblent par le profilage.

Livre Blanc

Transformation numérique : la défense et le renseignement

Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

Télécharger le livre blanc

3/ Quelles sont les obligations ?

Avec le RGPD, la législation sur les données s’étoffe de nouvelles obligations. Outre le principe d’extraterritorialité, le respect de la vie privée est établi dès la conception. S’inspirant du concept américain Privacy by Design (PdD), les principes de minimisation de la collecte et de la rétention de données, et l’accord obligatoire des personnes concernées sont formalisés d’entrée de jeu de manière plus explicite. De plus, à chaque traitement de données, une analyse systématique des risques d’atteinte à la vie privée devra être menée pour respecter les évaluations d’impact du RGPD.

Un autre point approfondi par le RGPD est le droit à l’effacement et à l’oubli. Objet de controverses, cette mesure permet à tout usager de demander la suppression de ses données personnelles. Là où le RGPD va plus loin, c’est qu’il étend ce droit à toutes les données publiées sur le Web. Enfin, avec la notification en cas d’atteinte aux données, les entreprises disposeront d’un délai de 72h à compter de la détection pour prévenir l’autorité de contrôle, ainsi que la personne concernée dans l’éventualité où cette fuite représenterait un danger quant à ses droits et libertés.

4/ Quels sont les risques en cas de non-respect ?

Pour que le RGPD ne soit pas pris à la légère, des sanctions financières dissuasives ont été pensées en cas de non-respect. Graduelles, les amendes pourront s’avérer significatives pour les organisations en infraction. En effet, celles-ci pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Ces amendes pénaliseront les manquements aux principes fondamentaux du RGPD tels que le respect de la vie privée dès la conception ou encore la notification en 72h.

5/ Comment s’y préparer ?

Avec le RGPD, de nombreuses formalités auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) vont laisser la place à une plus grande responsabilisation des entreprises. Afin d’être préparé, il est important de procéder étape par étape. Tout d’abord, il vous sera nécessaire de recruter (si ce n’est déjà fait) un délégué à la protection des données qui pilotera la gouvernance des données personnelles de votre structure. La mise en place d’un registre des traitements vous permettra également de faire le point et d’identifier les actions à mener pour vous conformer aux obligations du RGPD.

C’est à ce moment qu’intervient l’étape de gestion des risques : vous devrez en effet mener, pour chacun des traitements, une analyse d’impact sur la protection des données (Privacy Impacts Assessment). Afin de constamment garantir un niveau optimal de sécurité, des procédures internes devront être mises en place. Enfin, vous devrez prouver votre conformité au RGPD, documentation régulièrement actualisée à l’appui.

Insurmontable ? Pas avec les bons partenaires. Microsoft a développé de nombreux produits et services, déjà disponibles, pour vous aider à devenir et à rester conforme au RGPD.  Les solutions de sécurité cloud vous aideront à identifier et cataloguer toutes les données personnelles présentes dans vos systèmes, à en simplifier la gestion et la surveillance ainsi qu’à bâtir un environnement plus sûr.

Webinar

Améliorez la sécurité de vos PC dans le Cloud avec Windows

76% des décideurs IT en charge de PC et technologies prévoient d’augmenter les investissements au cours des deux prochaines années dont 36 % s’attendent à un double investissement.

Je m’inscris

6/ Comment envisager le RGPD comme un atout ?

Oui, le RGPD peut faire peur, mais il faut aussi le voir comme une opportunité d’opérer une transformation plus globale. D’une part, sachant leurs données bien protégées et utilisées avec leur accord, vos clients vous accorderont une plus grande confiance et pourra alors se développer une relation solide et pérenne, essentielle pour le business. D’autre part, votre entreprise renforcera sa sécurité face aux cyberattaques dans un contexte où elles ne cessent de se démultiplier et d’évoluer.

7/ Comment faire du RGPD un levier de transformation ?

Au-delà des enjeux techniques et juridiques, le RGPD impacte l’organisation et la culture de l’entreprise, c’est donc l’opportunité de faire évoluer vos processus de gestion et de gouvernance des données. Autrement dit, de tout remettre à plat pour repenser la façon dont vous conservez et exploitez les données.

Cette évolution peut s’inscrire dans une stratégie plus globale de transformation de l’entreprise.  L’analyse d’impact sur la protection des données est par exemple l’occasion de s’interroger sur les bénéfices collatéraux qui pourront être obtenus à travers la mise en conformité.

L’un des points de départ du RGPD consiste à consolider les flux de données afin d’aboutir à une vue unique pour chaque usager. Cette démarche implique des opérations de dédoublonnage, suppression ou identification de données manquantes qui serviront de fondations à la mise en conformité mais aussi à la transformation. En effet, cette vue unique et « propre » de chaque usager, de son historique à ses centres d’intérêt, est un atout précieux pour l’entreprise, puisqu’elle pourra l’aider à optimiser les parcours et interactions avec les usagers. C’est aussi l’opportunité de connecter toutes les fonctions de l’entreprise, des ventes au service client, en passant par le marketing… Et de s’orienter vers un modèle toujours plus centré sur la donnée et l’analytics, ces derniers devenant alors de véritables vecteurs de changement et d’innovation.

Alors, vous êtes prêt ?

Soins de santé : impliquez les patients au numérique

Pour répondre aux nouvelles attentes des clients et pour rester connectés avec eux tout au long de leur parcours de soins, le secteur de la santé a su innover et leur proposer une approche personnalisée.

Télécharger

 

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.
Cybersécurité PME-TPE
Cybersécurité PME-TPE

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.
Cloud
Cloud

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article
Voir tous les articles Lire tout les articles