Le compte à rebours a commencé. Il reste environ 290 jours aux entreprises et aux administrations pour se mettre en conformité avec le RGPD. Focus sur ce nouveau règlement et check list pour vous aider à être conforme aux normes à temps.
Le RGPD, c’est quoi au juste ?
Le règlement réforme les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles.
Le Règlement Général sur la Protection des Données (RGPD ou GDPR), changement le plus important jamais apporté à la loi sur la protection des données en trois décennies, entrera en vigueur le 25 mai 2018. Appliqué dans les 28 états membres de l’Union Européenne, il visera à renforcer les exigences concernant la sécurité et les activités de traitement des données personnelles. Il simplifiera ainsi les formalités pour les entreprises et leur offrira un cadre juridique unifié.
Tous les acteurs économiques et sociaux (entreprises, associations, organismes publics…) ayant une activité traitant des données personnelles sur des personnes résidant dans l’Union Européenne sont concernés. En cas de non-application du RGPD, une sanction financière allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires sera appliquée. Il est donc essentiel de se mettre à la page à temps !
5 grandes étapes pour se mettre en conformité avec le RGPD
Pour se conformer aux nouvelles exigences du RGPD, les entreprises vont devoir repenser leur organisation existante et prendre les mesures nécessaires pour positionner la protection des données au centre de leur nouvelle gouvernance de sécurité.
1- Sensibiliser vos collaborateurs à la « privacy ».
Enjeu d’entreprise, la notion de respect de la vie privée doit être partagée par tous. Il convient de former les salariés aux nouvelles obligations introduites par le RGPD. Rappeler qu’un simple fichier Excel contenant des contacts constitue un traitement de données personnelles en fait partie.
2- Réaliser un audit pour connaître votre situation actuelle.
En tant qu’entreprise, vous devez effectuer un audit de vos solutions et processus en matière de sécurité des données. L’objectif ? Révéler la nature des données recueillies auprès de personnes, les procédures de consentement appropriées, la localisation des données personnelles, les personnes pouvant y accéder ou encore les mécanismes de garantie de l’intégrité des données. Il faudra par la suite se mettre en conformité avec la nouvelle réglementation et la partager avec toutes les parties prenantes.
3- Établir un plan d’actions.
En considérant cet état des lieux, un plan d’actions doit être mis en oeuvre. Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil du consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données devra être établie. Cela entraîne une révision en profondeur de la politique de confidentialité.
4- Tenir un registre des traitements.
Les entreprises de plus de 250 employés doivent tenir un registre actualisé de tous les traitements de données personnelles. Consultable à tout moment par la CNIL, il comporte notamment le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiquées et la finalité du traitement (démarchage commercial, analyse statistique…). Pour dresser cette cartographie, les métiers sont mis à contribution, notamment le marketing et la DRH qui gèrent un grand nombre de données nominatives.
5- Nommer un Data Protection Officer (DPO) et définir ses nouvelles missions.
Alliant des compétences juridiques et techniques, le DPO doit être un bon communiquant capable de résister aux pressions. Ce dernier doit faire en sorte que le respect de la protection des données soit assuré. Ainsi, le rôle est crucial et difficile puisqu’il doit traiter avec les employés d’un côté et les responsables de département de l’autre.
Des logiciels pour se mettre aux nouvelles normes
Il apparaît essentiel pour les éditeurs de solutions IT de mettre en place des outils garantissant et permettant à leurs clients, de se conformer à la nouvelle réglementation informatique.
Pour aider au mieux les entreprises à s’y retrouver, Kaspersky Lab, solutions de sécurité des systèmes informatiques, a créé un outil d’évaluation gratuit et simple à utiliser qui se concentre sur les changements pratiques qui devront être mis en place . Découvrez également une courte vidéo animée qui présente les principaux points du RGPD.
D’autres solutions telles que MailStore, la référence en matière d’archivage des e-mails contribueront à respecter cette nouvelle réglementation. Elle s’inscrit dans l’élaboration d’une stratégie de protection des données. En plus d’apporter une vitesse de recherche accrue, la solution dispose de diverses fonctions pour sécuriser les archives en termes d’affichage, de manipulation et de suppression non autorisée. Pour en savoir plus, consultez notre article de blog dédié ou visionnez notre interview vidéo de Me Lechien au sujet de l’archivage légal des e-mails.
AppRiver, expert en sécurité mail et Web, vous aidera également dans ce défi. Les services de courriers électroniques et de sécurité d’AppRiver permettent de se protéger efficacement contre une violation de données. Prochainement, l’éditeur délivrera un livre blanc pour comprendre plus en détails la nouvelle réglementation.
Quant à SecurityGateway, passerelle de protection pour MS Exchange et serveurs SMTP, la version 4.5 apporte des règles de protection contre la fuite de données. Ces règles vous aident à détecter l’envoi d’informations sensibles en dehors de l’entreprise.
Il est donc essentiel de se familiariser dès aujourd’hui avec les nouvelles normes du RGPD et de s’équiper d’ici mai 2018 de solutions conforment au nouveau règlement.
A très vite,
L’équipe Watsoft.
0 commentaires