La mise en conformité RGPD : petit résumé sur la protection des données privées
Le 25 mai 2018, la législation sur la mise en conformité RGPD – destinée à protéger les données privées des citoyens de l’UE – est entrée en vigueur. Son objectif est de s’assurer que les organisations intègrent la «confidentialité dès la conception» dans leurs stratégies de sécurité et les rendent plus responsables vis-à-vis de leurs clients.
Contrairement aux États-Unis, les entreprises opérant actuellement dans l’UE et collectant des données sur des personnes ne doivent pas révéler si elles ont été piratées.
Cela signifie que le nombre déjà considérable d’enregistrements de données privées perdus ou volés en Europe pourrait ne constituer que la partie visible de l’iceberg.
La mise en conformité RGPD des entreprises et des associations devrait changer tout cela et amener la protection des données en tête des priorités des entreprises. Alors, comment les entreprises peuvent-elles garantir leur conformité et quelles étapes doivent-elles suivre?
La démarche de mise en conformité RGPD d’une entreprise
Première étape de mise en conformité RGPD – Comprendre le cadre juridique
La première étape pour assurer la mise en conformité RGPD consiste à comprendre la législation en vigueur, ainsi que les conséquences de ne pas respecter les normes requises, en effectuant un audit de la conformité au cadre juridique RGPD.
Une partie de cet audit de mise en conformité RGPD, quelle que soit la taille de l’entreprise, consiste à embaucher un responsable de la protection des données afin d’expliquer les réglementations et les appliquer à l’entreprise. Il est préférable que cette personne ait une formation juridique et technologique combinée afin de comprendre à la fois le cadre réglementaire et les spécifications techniques nécessaires pour le respecter. Comme chaque organisation est unique, la voie vers la conformité au normes RGPD sur la protection des données privées sera également différente.
Deuxième étape de mise en conformité RGPD – créer un registre de données
Une fois que les entreprises ont une idée plus précise de leur volonté de respecter les exigences réglementaires, elles doivent conserver une trace du processus. Cela devrait se faire par la tenue d’un registre de données, essentiellement un agenda RGPD. Chaque pays est doté d’une association de protection des données (CNIL), qui sera chargée de faire respecter le RGPD.
C’est cette organisation qui jugera si une entreprise a été conforme lors de la détermination des éventuelles pénalités pour violation. Si une violation se produit au tout début de la mise en œuvre, l’entreprise doit être en mesure de montrer à l’autorité de protection des données ses progrès en matière de conformité via son registre de données.
En l’absence de preuve que la société ait même entamé le processus, la CNIL pourrait imposer une amende comprise entre 2% et 4% du chiffre d’affaires de la société, en fonction de la sensibilité des données transgressées. La nature des données pourrait également inciter la CNIL à imposer une amende beaucoup plus rapidement à la société.
Troisième étape de mise en conformité RGPD – classer vos données
Cette étape consiste à comprendre quelles données les entreprises doivent protéger et comment le faire. Les entreprises doivent d’abord trouver des informations personnelles identifiables (informations d’identification personnelle) – informations permettant d’identifier directement ou indirectement une personne citoyen de l’UE. Il est important d’identifier où il est stocké, qui y a accès, avec qui il est partagé, etc.
Ils peuvent ensuite déterminer quelles données sont plus vitales à protéger, en fonction de leur classification. Cela implique également de savoir qui est responsable du contrôle et du traitement des données et de s’assurer que tous les contrats appropriés sont en place.
Quatrième étape de mise en conformité RGPD – Commencez par votre priorité absolue
Une fois les données identifiées, il est important de commencer à évaluer les données, notamment leur mode de production et de protection. Quelle que soit la donnée ou l’application, la priorité doit être de protéger la vie privée de l’utilisateur. Lorsqu’elles examinent les données ou les applications les plus privées, les entreprises doivent toujours demander si elles ont réellement besoin de ces informations et pourquoi. Ces données ont toujours plus de valeur pour un pirate informatique et présentent donc le risque le plus élevé de violation. Les entreprises doivent mener à bien une évaluation des facteurs relatifs à la vie privée et à la protection des données de toutes les politiques de sécurité et évaluer le cycle de vie des données, du point d’origine au point de destruction. Ce faisant, il est important de garder à l’esprit les droits des citoyens de l’UE, y compris la portabilité des données et la limitation du traitement. Le «droit à être oublié» doit être pris en compte dans le cadre de la mise en conformité RGPD.
Ce sont des données que des tiers peuvent utiliser pour identifier une personne. Elles doivent pouvoir être supprimées si demandée et approuvée par l’UE. Il est vital que ces données soient correctement détruites et inaccessibles.
À partir de là, les entreprises devraient évaluer leurs stratégies de protection des données – comment elles protègent exactement les données (par exemple, avec un cryptage, une tokenisation ou une pseudonymisation). Cette stratégie doit se concentrer sur les données sauvegardées – sur site, site internet ou sur le cloud – et les données historiques pouvant être utilisées à des fins d’analyse.
Les entreprises doivent se demander comment elles anonymisent ces données afin de protéger la confidentialité et l’identification des citoyens auxquels elles se rapportent. Gardez toujours à l’esprit que les données doivent être protégées à partir du jour où elles sont collectées, jusqu’au jour où elles ne sont plus nécessaires, puis elles doivent être détruites correctement.
Cinquième étape de mise en conformité RGPD – évaluer et documenter les risques et processus supplémentaires
Outre les données les plus sensibles, l’étape suivante consiste à évaluer et à documenter d’autres risques, l’objectif étant de déterminer les domaines dans lesquels l’entreprise pourrait être vulnérable au cours d’autres processus.
À mesure que cela se fait, il est essentiel que les entreprises conservent un document de feuille de route indiquant à la CNIL comment et quand elles vont gérer ces risques non résolus. Ce sont ces actions qui montrent à l’autorité de protection des données que l’entreprise prend au sérieux la conformité et la protection des données.
Étape six de mise en conformité RGPD – réviser et répéter
La dernière étape consiste à réviser les résultats des étapes précédentes et à remédier aux éventuelles retombées, à les modifier et à les mettre à jour le cas échéant. Une fois cette opération terminée, les entreprises doivent déterminer leurs priorités suivantes et répéter le processus à partir de la quatrième étape.
La sécurité doit être au premier plan de chaque nouvelle idée, plan et application pour les entreprises en devenir. À partir de l’année prochaine, les entreprises n’auront plus le luxe de cacher aucune brèche.
Ceux qui ne montrent pas qu’ils ont mis en place les bonnes mesures – ou du moins font des efforts – seront passibles d’amendes et porteront certainement un coup dur à leur réputation. Dans un an, les régulateurs commenceront à se rendre compte du sérieux avec lequel les entreprises prennent la sécurité de leurs données – et du nombre de violations réellement commises.
Ne tardez pas, profitez du forfait de miseen conformité RGPD extrêmement compétitive d’un site internet WordPress et évitez le risque d’une amende de la CNIL
Laisser un commentaire