Nouvelles dispositions associées à la protection des données : Loi GDPR

Cybersécurité : s’y préparer

Une étude toute récente qui s’est déroulée en avril-mai 2017, montre que près de 75% des entreprises françaises auront des difficultés à s’y conformer dans les délais impartis !! Et même si 58% d’entre elles déclarent avoir procédé à une évaluation de l’impact de ce règlement européen sur leurs données, 42% de ces entreprises vont devoir s’y pencher très sérieusement, et au plus vite…Car la CNIL pourrait être amenée à mettre en place des sanctions pour les contrevenants, pouvant aller jusqu’à 4% du chiffre d’affaires annuel. Pas sûr que le risque de mettre en balance le coût de cette conformité et celui d’une éventuelle amende, soit envisageable. Alors où en êtes-vous ?

Mais qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (GDPR en anglais pour General Data Protection Regulation) a été mis en place par l’Union Européenne pour harmoniser et normaliser les différentes lois qui existent dans les pays de l’UE, sur la protection des données personnelles. Or, les entreprises détiennent un nombre considérable d’informations à caractère personnel, que ce soit pour leurs propres employés, et dans ce cas là, elles sont administrées par leur service RH quand il existe, mais aussi sur leurs clients et partenaires, dans des bases de données constituées grâce à la collecte d’informations client généralement organisée par le service Marketing.

Cette nouvelle législation repose sur le droit fondamental de tout citoyen de l’UE à la protection de sa vie privée et de ses données personnelles, et contrairement à une directive européenne, elle n’aura pas besoin d’une transposition dans la loi française pour être appliquée. De ce fait, toute entreprise (ou organisation – établissement public – association), quelle que soit sa taille dès lors qu’elle détient, conserve, administre, utilise des données à caractère personnel, devra avant le 25 mai 2018, être en conformité avec ce RGPD, c’est à dire être en capacité de respecter toutes ses obligations au regard de ce nouveau dispositif. Parmi les nouveaux droits à respecter par les entreprises, il y a pour tout citoyen qui le réclame le droit à l’accès à ces informations le concernant, (article 15), le droit à la rectification (art.16) et le droit à l’effacement, le fameux droit à l’oubli (art.17) . Difficile d’être exhaustif à ce stade, ce règlement comporte 99 articles !

Comment s’y prendre ?

Si vous faites partie des 42 % des entreprises qui n’ont pas encore entamé la démarche de conformité, il est urgent de réfléchir au plan d’actions à mettre en place, car votre entreprise est de facto responsable de ces fameuses données personnelles, dont vous devez absolument garantir la sécurité d’accès, mais aussi la traçabilité, et même la portabilité. Les flux de ces fameuses données ne sont pas prohibés, en revanche, il vous faudra garantir, ainsi que vos éventuels sous-traitants, une sécurité renforcée lors de ces transferts, et vous prémunir contre la perte de ces données personnelles. Hélas, bon nombre d’entreprises ne savent même pas où se trouvent, où sont stockées, sauvegardées, toutes ces données à caractère personnel, ni comment en assurer un accès sécurisé, et éviter une violation de la liberté fondamentale de l’anonymat, s’il est souhaité.

Il est fort probable que pour beaucoup de sociétés, il sera nécessaire d’adapter les outils utilisés pour leur permettre d’avoir une vision exhaustive des données sensibles, de leur emplacement, de leur accès réglementé et sécurisé, et bien sûr de leur disponibilité. D’ailleurs, l’article 30 du RGPD exige la tenue d’un « registre des activités de traitement » de ces données, complété par l’article 32 « sécurité du traitement » qui oblige la mise en œuvre de politiques et processus adéquats et efficaces, avec production de rapports pour en attester. Dit autrement, il sera nécessaire de mettre en place “des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”.

Les grandes entreprises utilisent d’ores et déjà des outils sophistiqués permettant le cryptage des données sensibles, et la traçabilité des accès à celles-ci, avec les niveaux d’autorisation appropriés. Elles disposent également de structures organisationnelles avec les personnes compétentes qui sauront réagir rapidement pour mettre leur entreprise en conformité.  Mais tel n’est pas le cas d’une grande majorité de nos entreprises, qui se voit à nouveau confrontée, après la vague de cyber attaques comme celle de Wannacry il y a quelques semaines, à la nécessité de remettre à plat toute leur politique de sécurité numérique.

Nommer une équipe dédiée

Sans doute sera-t-il plus efficace de nommer une équipe responsable de la conformité à ce RGPD. Ainsi, elle pourra avancer avec méthode et légitimité pour atteindre son objectif, après en avoir défini les jalons, et le budget. Car il faudra maîtriser l’ensemble de ces données sensibles, après les avoir définies, et répertoriées, connaître l’ensemble des processus qui utilisent ces données et avec quels critères d’accès et plus généralement de sécurité, mettre en place les mécanismes de traçabilité de ces données, tout en répertoriant toutes les actions menées pour arriver à la mise en oeuvre de cette conformité. Bien évidemment, dès qu’il est question de protection de données sensibles, et de leur vulnérabilité, l’équipe de conformité devra faire un audit des solutions existantes en matière de sauvegarde de ces données et de restauration de celles-ci, en cas d’incident, de même qu’il sera nécessaire de valider les solutions anti-intrusion du système d’information.

On le voit, les différentes étapes de ce projet vont nécessiter recherche d’informations, analyse des processus existants, rigueur dans l’élaboration des registres, diplomatie pour interviewer certains responsables de domaines, mises à l’étude de nouveaux outils ou adaptations d’outils existants, négociation de budgets, remises à plat de certaines procédures, etc… Finalement, ce sera beaucoup de temps, et donc de l’argent. C’est pourquoi, il est temps de planifier cette action, que ce soit avec une équipe interne, ou externe à l’entreprise.

XEFI Marne-la-Vallée

Société d’assistance informatique et de maintenance informatique, XEFI Marne la Vallée est spécialisée dans l’acquisition et la maintenance des réseaux, serveurs, ordinateurs, imprimantes et téléphonie sur IP.

Actualités
informatique