Les dernières évolutions de l’algorithme Facebook semblent être l’apanage des communicants. Cela semble logique étant donné que ce changement va modifier en profondeur leur métier et la nature de leurs conseils. Ce n’est cependant rien en comparaison avec le Règlement Général sur la Protection des Données personnelles (RGPD) qui est une véritable onde de choc pour les entreprises.
En effet, le 25 mai 2018, toute entreprise (européenne et étrangère) devra prouver que les données à caractère personnel des citoyens européens qu’elle détient sont protégées et inexploitables en cas de vol.
Pourtant, s’ils sont nombreux à s’emparer du sujet, peu avancent des solutions pour accompagner les entreprises. Nous avons donc souhaité attaquer de front ce thème sensible en vous proposant une méthode en 3 étapes pour assurer votre conformité au RGPD.
RGPD, pourquoi est-ce important ?
Quelques piqûres de rappel avant de rentrer dans le vif du sujet. Vous pouvez également lire attentivement “Les 11 idées reçues sur le RGPD”.
Définition et origine
Née d’une volonté de protection et de respect des droits relatifs aux données personnelles, cette réglementation a pour objectif d’assurer :
- une protection accrue des individus,
- une harmonisation des lois européennes,
- une prise de conscience sur les enjeux de la sécurité informatique.
Les enjeux pour les entreprises
Pour les entreprises, il ne faut pas se bercer d’illusions, les enjeux sont colossaux et demandent de réels efforts pour assurer la mise en conformité de l’ensemble du Système d’Information au RGPD.
Voici plusieurs champs de bataille :
- l’obligation de sécurisation,
- la limitation des traitements de données à caractère personnel,
- l’obligation de documentation et de déclaration.
En cas d’irrégularités, les sanctions sont de taille. Selon la nature des infractions, les amendes peuvent aller jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires global annuel, si le CA de l’entreprise concernée est supérieur à 500 millions d’euros.
Pourquoi est-ce une avancée importante ?
C’est un renforcement des droits des européens sur leurs données personnelles. Le règlement conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis par la loi du 6 janvier 1978 (notamment le droit d’information des personnes) et, surtout, en crée de nouveaux : droit à l’effacement ou « droit à l’oubli » et droit à la portabilité des données.
C’est aussi une simplification bienvenue des règles concernant les données pour les entreprises. Le règlement prévoit le passage d’un système de contrôle par la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques. Ce dernier point restant à confirmer, le rôle de la CNIL serait néanmoins important en ce sens.
Notre démarche en 3 étapes
Notre équipe de consultants a mis au point une méthodologie simple pour couvrir les besoins des entreprises dans leur processus de mise en conformité.
Étape 1 – Organisation et implémentation des processus
- Aligner les parties prenantes
- Cartographier les processus de traitements
- Établir une gouvernance pérenne
Étape 2 – Juridique
- Évaluer les risques et impacts PIA des données
- Réviser les documents contractuels
Étape 3 : Mise en application technique
- Vérifier les mesures de sécurité IT
- Préconiser des outils de surveillance
Vous souhaitez en savoir plus ? Contactez notre équipe :