Aujourd’hui, le stockage de données ainsi que leur utilisation sont entrés dans une normalité, contrôlés par différentes règles qui divergent de pays en pays.
Ces données, dont certaines sont dites sensibles (sexe, opinion politique, religion, …), sont récoltées à travers différentes actions marketing et commerciales des entreprises. Les cyberattaques sont de plus en plus présentes ces dernières années même les grandes entreprises comme Orange, Sony, en sont victimes… . L’Europe a donc décidé d’harmoniser les lois des pays européens en élaborant un règlement concernant les droits des individus sur leurs données et leur utilisation.
À partir du 25 Mai 2018, le Règlement Général sur la Protection des données (RGPD ou GDPR en anglais), adopté en Avril 2016 par le Parlement Européen entrera en vigueur.Les entreprises devront mettre en place des modifications majeures quant à l’organisation des collectes et sauvegardes des données des utilisateurs.
Toutes les entreprises devront adapter leur politique sous peine de payer une amende allant de 2% jusqu’à 4% de leur chiffre d’affaires annuel mondial. Au delà de cette amende financière, c’est également l’image de l’entreprise qui pourrait être touchée par cette condamnation en perdant la confiance de certains utilisateurs.
Malgré l’importance de ce règlement, seulement 44% des entreprises seraient prêtes pour cette nouvelle réglementation et 9 entreprises sur 10 ne sont actuellement pas prêtes, selon une étude du cabinet d’avocat Bird & Bird*.
(*) Bird&Bird Paris, “GDPR, où en êtes-vous ?”. Étude réalisées entre le 15 mai et le 15 juin 2017
1 – Les ressources humaines
Même si toutes les entreprises sont concernées par ce nouveau Règlement, les entreprises traitant des données sensibles à grande échelle ou les administrations, doivent mettre en place un nouveau poste : Data Protection Officer (DPO). Ce dernier devra être en mesure de comprendre le nouveau Règlement et de pouvoir l’appliquer au sein de son entreprise, mais il aura également un rôle de conseil par rapport aux données sauvegardées par les entreprises et l’utilisation qu’elles en font.
Au delà de son rôle de conseiller, le DPO aura de nombreuses responsabilités telles que signifier à l’autorité de contrôle la violation de données dans un délai de 72h.
Si vous avez déjà nommé un Correspondant Informatique et Libertés (CIL) au sein de votre entreprise, vous pouvez augmenter ses responsabilités afin qu’il prenne le rôle de DPO.
2 – La cartographie des traitements de données personnelles
Avant l’entrée en vigueur du Règlement, qui arrive à grands pas, il faut faire un état des lieux des données sauvegardées par l’entreprise.
Il est important de connaître la manière dont sont récoltées les informations, stockées et utilisées afin de savoir si le processus en cours est en conformité avec la future législation Européenne. La création d’un registre comprenant toutes ces informations pourra faciliter la transition vers un processus conforme. Ce registre sera une obligation pour les entreprises, ainsi que les sous-traitants, de plus de 250 salariés.i Il devra contenir en détails, les différents traitements des données, les processus utilisés pour sécuriser leurs données.
Même si ce règlement est européen, les entreprises ne faisant pas partie de l’Union Européenne, seront également concernées à partir du moment où elles traitent des données de ressortissants européens.
3 – La mise en oeuvre d’un plan d’action
Une fois que les entreprises auront pris connaissance de la conformité des processus, elles devront mettre en place un plan d’action pour que ce processus et futures actions soient en règle avec le Règlement Européen.
Le Règlement apporte de nouveaux droits aux utilisateurs et les entreprises doivent savoir si elles sont, ou pas, prêtes à répondre à ces droits.
Par exemple, le consentement préalable est obligatoire pour pouvoir récupérer les données, il est donc important de contrôler les formulaires (ou autres actions) qui servent à saisir ces informations personnelles. Lorsque l’entreprise a récupéré ces informations, elle se doit de les garder d’une manière lisible. En effet, le droit à l’oubli permet à l’individu de demander la suppression des données mais le droit à la portabilité permet la récupération de ces données alors lisibles pour être comprises par tout le monde.
Il faut donc mettre en place un plan d’action pour savoir quelles sont les processus à prévoir, connaître les différentes sources de non conformité.
Les sous-traitants ne doivent pas être mis à part. Il est important de savoir si eux-mêmes se sont mis en conformité avec la législation européenne. Pour cela, les contrats peuvent être revus afin d’être adaptés à la législation.
4 – La gestion des risques
Plus la liste des données est grande, plus l’entreprise se risque à des actions malveillantes ou à être en non-conformité au niveau de la législation.
En effet, comme énoncé plus haut, la législation s’est durcie concernant l’utilisation des données. C’est pourquoi, les entreprises doivent mener une étude d’impact sur la protection des données (PIA) ce qui permet non seulement de traiter correctement ses données, mais également de montrer que l’entreprise a pris en compte et respecte le RGPD.
Le risque de piratage des données n’est pas à négliger. De nombreuses entreprises se retrouvent confrontées à des tentatives ou réussites de violation de leurs données. Pour les éviter, afin de garder non seulement une certaine crédibilité envers les utilisateurs, mais également de garder le respect des vies privées intact, il faut donc mettre en place des actions ayant pour but d’amoindrir les conséquences de ces attaques. Les entreprises peuvent réduire l’accès aux données, mettre à jour régulièrement les logiciels, connaître le cheminement des données, … .
5 – L’organisation des processus internes
Les données peuvent être victimes d’attaques malveillantes à tout moment. C’est pourquoi il est important de contrôler chaque étape de saisie des données : une entreprise doit, dès la création d’une base de données, contrôler son respect de la vie privée et des articles compris dans le Règlement. Il faut également mettre en place un processus qui permet de traiter rapidement les demandes des individus par rapport à leurs droits sur leurs données personnelles ou d’anticiper toutes les atteintes qui auraient été faites par rapport à ces droits.
L’entreprise doit mettre en place des notes d’informations envers ses collaborateurs pour qu’ils soient informés de toutes les évolutions de la législation et que les informations dans l’entreprise circulent sans encombre.
Il faut également que chaque individu de l’entreprise prenne conscience de l’importance de ce nouveau règlement. Tout d’abord en sachant quel type de données est important ou dit sensible puisqu’un copier/coller multiplie les données et peut donner lieu à un risque d’être exposé à une sanction législative ou une action malveillante.
6 – La sensibilisation et la documentation au RGPD
L’entreprise doit montrer sa conformité au Règlement. Pour cela, une documentation est obligatoire et doit prendre la forme d’un registre des traitements, démontrer que l’étude d’impact sur la protection des données a correctement été menée et que chaque transfert de données (dont hors UE) est encadré.
L’entreprise doit mettre en place les documentations qui permettent d’informer les individus sur l’utilisation de leurs données, les documentations pour récupérer leurs consentements afin d’avoir une preuve du recueil de ce consentement.
La CNIL vous invite à vous préparer au RGPD en 6 étapes.