Tout savoir sur le Règlement Général de la Protection de Données
Dossiers

Tout savoir sur le Règlement Général de la Protection de Données

D’importants changements s’annoncent au printemps prochain en termes de protection des données. Le nouveau texte régissant les mesures professionnelles de protection des données, le fameux Règlement Général de la Protection de Données (ou RGPD pour les intimes), entre en vigueur le 25 mai 2018 pour tous les pays de l’Union Européenne. L’objectif est simple : permettre aux citoyens européens de contrôler l’usage qui est fait de leurs données personnelles.

Motivé par les progrès technologiques qui ont vu le jour cette dernière dizaine d’années, ce règlement européen sur la protection des données est notamment prévu pour mettre à jour les directives concernant les serveurs cloud et la protection des données d’entreprise et personnelle que la plupart d’entre nous partageons sans la moindre hésitation sur Internet. En milieu professionnel, le texte vise à donner matière à réflexion aux entreprises qui collectent et conservent ces données ainsi qu’à clarifier et renforcer les lois qui les protègent.

Non seulement le RGDP régira les entreprises des états membres, il est également applicable à toute transaction ou analyse qui implique le territoire européen. Il est donc probable que votre entreprise soit confrontée à ses conditions à un moment ou à un autre, et il faudra donc mettre à jours vos équipements et procédures. Tout manquement au nouveau texte sera pénalisé d’une amende pouvant atteindre 20 millions d’Euros ou 4 % du chiffre d’affaire de l’entreprise concernée.

Les changements suite à l’entrée en vigueur du Règlement Général de la Protection de Données

Nous avons résumé pour vous les principales étapes à accomplir avant la mise en vigueur de ce texte que les anglophones appellent également GDPR (general data protection regulation) :

Faites le point

Première étape : comparez les conditions du  RGDP à vos propres procédures et relevez les principales modifications à apporter. Entre autres, cela signifie analyser la façon dont vous et vos partenaires (clients, fournisseurs) utilisez, conservez et protégez les données obtenues de citoyens européens.

Étudiez le projet en collaboration avec vos équipes

Il est probable que le RGDP ait un impact sur tous les services de votre entreprise, et il est donc logique de travailler ensemble aux modifications à apporter afin de former un projet d’entreprise adapté à tous. Tenez compte de tous les types de données que manipule votre société, étudiez la façon dont vous collectez, sauvegardez et stockez ces données, le niveau d’autorisation que vous obtenez de leurs propriétaires (il ne s’agit pas seulement de pré-cocher une case dans un formulaire internet), et les mesures de protection contre le piratage de données que vous avez mises en place.

Pour les entreprises les plus importantes, il sera peut-être plus efficace et économique d’embaucher un consultant spécialisé dans la normalisation des entreprises au RGDP.

Vérifiez vos procédures d’archivage numérique

Toutes vos procédures liées aux données personnelles informatiques devront être documentées et régulièrement contrôlées. D’autre part, il vous faudra mettre en place un plan d’action en cas de brèche de sécurité, à commencer par l’avertissement de l’organisme en vigueur dans les 72 heures (faute de quoi, vous pourriez être sanctionné par une amende pouvant atteindre 10 millions d’Euros ou 2 % de votre chiffre d’affaires).

C’est le moment d’envisager des formations professionnelles supplémentaires pour votre personnel afin d’assurer que chacun connait les règles ainsi que les risques et la conduite à tenir en cas de cyberattaque. Votre département des ressources humaines devra également vérifier que ses procédures sont conformes au nouveau texte.

Cependant, la mise en vigueur du RGDP a donné naissance à de nombreux mythes.

Mythe 1: Le texte ne concerne que les données numériques

On entend souvent que le but du RGDP est de réguler la façon dont on stocke et protège les données, mais le texte va bien au-delà de la simple protection de données numériques. Il concerne toutes les données personnelles, y compris les documents papier.

Dans le cadre du RGDP, n’importe qui a le droit de demander la suppression de ses données personnelles numériques et physiques et si vous n’êtes pas en mesure de répondre efficacement à cette requête, vous risquez non seulement de ne pas adhérer à vos obligations légales, mais aussi de voir ces données tomber entre les mains de pirates informatiques ou autres usurpateurs d’identité. Pour mieux prévenir ce risque, il suffit d’archiver et de protéger vos documents papier dans des armoires verrouillées.

Mythe 2: Les changements seront rapidement mis en place

Si les recommandations du RGDP sont mieux organisées et plus efficaces à long terme, il vous faudra probablement un peu de temps pour choisir, mettre en place et former votre personnel aux nouvelles procédures. Mieux vaut vous y prendre dès maintenant afin que votre entreprise soit fin prête le moment venu.

Mythe 3: Ce ne sont que des formalités supplémentaires

SI les lois Informatique et Liberté régulaient déjà la manière dont les entreprises utilisaient les données personnelles, le RGDP passe la vitesse supérieure. Par exemple, aujourd’hui, il ne suffit plus de ne pas avoir l’interdiction d’un usager pour utiliser ses données ou d’afficher un message d’avertissement sur un site internet. Il faut désormais avoir obtenu son autorisation écrite, récente et sans équivoque.

Les lois européennes sont complexes et il est essentiel que votre entreprise connaisse ses obligations en termes de protection et d’utilisation des données. Les brèches de sécurité informatiques sont fréquentes et sérieuses, et il est primordial de pouvoir prouver, le cas échéant, que vous aviez pris toutes les mesures requises pour vous protéger des risques.

" width=