RGPD : Êtes-vous concerné ?

Le Règlement Général sur la Protection des Données Personnelles (RGDP), est entré en vigueur le 25 Mai 2018.

Il s’agit d’un règlement qui impacte à la fois l’infrastructure informatique, les processus et les personnes.

Le RGPD s’applique à toutes les organisations (entreprises, établissements publics, associations…) traitant des données de citoyens européens ou de personnes résidant dans un pays de l’Union européenne.

Le traitement des données désigne entre autres la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance. Une entreprise qui externalise la collecte et le stockage des données personnelles est considérée comme faisant du traitement de données si elle les consulte à distance.

Tous les services des entreprises sont potentiellement concernés par cette réglementation : service client, marketing, ressources humaines, facturation, service juridique, service commercial.

Une donnée à caractère personnel désigne toute information identifiant directement ou indirectement une personne physique.

Par exemple, les données privées ou professionnelles, noms, adresses postales, téléphones, photos, adresses email, nom d’utilisateur, date de naissance, coordonnées bancaires, publications sur les réseaux sociaux, informations médicales, un numéro d’identification, une plaque d’immatriculation, le numéro de l’assurance vieillesse, un identifiant en ligne, un cookie, des informations de localisation, etc., et même l’adresse IP.

Ainsi que les éléments spécifiques propres à une identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

De même, les données comportementales collectées sur Internet, si elles sont corrélées à une identité, deviennent des données à caractère personnel.

Autre exemple : la collecte de données sur des représentants d’une entreprise (à partir de cartes de visite par exemple) entre dans le champ d’application du RGDP. 

Le RGPD renforce ou crée de nouveaux droits pour les personnes (ou consommateurs) : un droit d’accès et de rectification facilité aux données, un droit à l’effacement, un droit à la limitation du traitement, un droit à la portabilité des données, un droit d’opposition.

Il revient aux entreprises de garantir aux personnes l’exercice de ces droits. Pourtant de nombreuses  entreprises estiment qu’actuellement elles ne sont pas en mesure d’identifier et de localiser correctement les données pertinentes.

D’autres obligations en découlent :

• gérer le cycle de vie des données conservées
• transmettre des données personnelles des citoyens européens hors Union européenne
• demander l’accord de l’internaute avant de lui adresser des communications électroniques et l’intégrer à une liste de diffusion. Cet accord ne sera valable que dans le contexte décrit
• assurer la formation et la sensibilisation du personnel
• signaler certains types de violations de données à l’autorité de surveillance concernée et, dans certains cas, aux personnes concernées. Par exemple, si une entreprise voit ses données chiffrées par un ransomware, elle devra signaler et notifier cette violation dans les 72H00
• impossibilité de régulariser les formalités a posteriori

La responsabilité d’assurer la conformité au RGDP incombe à l’organisation et ne peut en aucun cas être laissée au seul fournisseur de services

L’utilisation des terminaux personnels au travail comportent de nombreux risques pour peu qu’ils aient accès au système d’information. L’employeur reste le responsable de la sécurité des données personnelles de son entreprise.

Selon la taille de l’entreprise, elle aura l’obligation de tenir un registre formel des traitements, et de désigner une personne chargée de s’assurer du respect des dispositions du Règlement dans l’entreprise, le Data Protection Officer (DPO).

Le Règlement renforce de manière significative les pouvoirs de sanction de la CNIL (jusqu’à 4% du CA global si l’entreprise est internationale, plafonné à 20 Millions €).

Ça y est, le RGPD est entré en vigueur, votre entreprise doit dès maintenant entreprendre une démarche de mise en conformité :

• Procédez à un inventaire de vos données personnelles
• Sollicitez les experts en sécurité pour garantir vos processus
• Mettez en place des procédures et des outils pour garantir les droits des personnes
  

Il faut sans attendre commencer à interroger les fournisseurs sur les modalités de leur mise en conformité au RGDP, en particulier les éditeurs logiciels et les hébergeurs. 

La protection des données personnelles repose aussi sur des dispositifs techniques : authentification forte, chiffrement des flux d’informations, solutions de gestion des terminaux mobiles, etc.

Au final, l’immense majorité des entreprises est concernée par les dispositions du RGDP.

L’amélioration des processus de gestion des données constitue un des aspects positifs du RGPD.

En tant que spécialiste de la sécurité informatique et des réseaux, Alliance informatique a développé son offre Diagnostic Zen+ RGPD pour permettre aux petites et moyennes structures de faire un premiers pas vers la mise en conformité à un coût abordable.