Quel que soit l’endroit où votre entreprise est implantée, si vous contrôlez, collectez ou partagez des données personnelles appartenant à des citoyens de l’UE, vous devez vous conformer au règlement général sur la protection des données (RGPD).
Le RGPD entrera officiellement en vigueur le 25 mai, et toute entreprise jugée non conforme après cette date pourrait se voir infliger de lourdes amendes (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global de l’entreprise).
L’idée derrière le règlement général sur la protection des données est de protéger la vie privée des citoyens de l’UE, en leur donnant davantage de contrôle sur la façon dont leurs données personnelles sont récupérées, traitées et partagées, avec une visibilité sur “comment” et “où” ces données sont utilisées.
Le règlement prévoit de réelles sanctions pour ceux qui collecteraient des données sans prendre soin de ces dernières. Le RGPD renforce également la notion de responsabilité au sein de ces entreprises afin de s’assurer qu’elles soient bien conscientes des données qu’elles collectent, et de la manière avec laquelle elles sont stockées et protégées.
Pour les nombreuses entreprises qui gèrent des données, le RGPD implique un réel changement dans les processus de collecte des données, et ce du début à la fin, ainsi qu’un examen attentif du type de données qu’elles récupèrent, de la manière dont elles sont sécurisées, et enfin d’une évaluation juste du bien-fondé de la récupération de telles données au départ.
Il ne suffit plus de vouloir collecter des données utilisateur, le règlement général sur la protection des données exige que les entreprises collectent uniquement les données des utilisateurs quand il existe une “base légale” pour le faire, et cette base doit être documentée.
Comme l’a déclaré en octobre dernier Ross McKerchar, CISO chez Sophos, le RGPD a modifié l’équilibre des forces en présence, en faisant passer les données du statut d’actif représentant une certaine valeur, à celui de passif représentant quant à lui une responsabilité potentielle. S’assurer que les données sont supprimées dès qu’elles ne sont plus utiles devient “une mesure de protection en profondeur : en effet, moins vous stockez, moins vous avez à perdre”.
Les gestionnaires de données devront mettre en œuvre plus de processus informatifs sur le consentement lorsqu’ils souhaiteront obtenir des données client ou utilisateur, de sorte que les citoyens européens seront pleinement conscients de leurs choix lorsqu’une entreprise aura la responsabilité de leurs Informations Personnelles Identifiables (IPI).
Les citoyens de l’UE pourront demander des informations sur les données détenues, via une demande d’accès à l’information, un rapport écrit qui doit être envoyé sur demande, et qui explique quelles données sont détenues au sujet de l’intéressé(e), pourquoi elles sont utilisées et avec qui elles ont été partagées. Les citoyens pourront également demander que toute donnée détenue sur eux soit supprimée.
Un autre but du RGPD est de rendre les entreprises beaucoup plus proactives dans la divulgation d’une violation de données, si un tel cas devait se présenter. C’est pourquoi le RGPD exige que toute personne affectée par une violation de données soit notifiée dans les 72 heures qui suivent la découverte de la violation.
La mise en œuvre du règlement général sur la protection des données n’est pas d’un point de vue technologique une simple case à cocher, il s’agit en grande partie de créer et de formaliser des processus pour gérer les nouvelles exigences auxquelles les entreprises doivent à présent répondre.
Si le RGPD est crucial pour votre entreprise, il est probable que vous ayez déjà mis de l’ordre dans votre système depuis un moment déjà. Mais avec un seul mois à présent pour se conformer, il est tout de même conseillé de vérifier que votre entreprise est toujours sur la bonne voie : Essayez l’outil de vérification de votre conformité vis à vis du RGPD proposé par Sophos pour votre tranquillité d’esprit, il ne comporte que six questions !
Billet inspiré de One month to GDPR. Are you ready?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.