Le Règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. Ce règlement relatif au traitement des données personnelles par les entreprises impose une plus grande responsabilité aux sociétés amenées à collecter, traiter, regrouper et analyser les données de leurs clients. Le RGPD vise à renforcer et harmoniser la protection des données personnelles des résidents de l’Union Européenne. C’est une application plus stricte es les principes de la loi informatique et libertés du 6 janvier 1978. Il s’agit d’adapter cette loi et ses principes aux nouvelles pratiques du web et d’harmoniser la réglementation avec les évolutions des technologies de l’information. Aujourd’hui la plupart des entreprises présentes sur le web récoltent et utilisent les données personnelles de leurs clients ou de leurs visiteurs (adresses email, coordonnées, nom…). Désormais les entreprises devront êtres plus vigilantes concernant la récolte et l’hébergement de ces informations sensibles. Comment mettre en place la RGPD au sein de votre entreprise ? 

RGPD : les bonnes questions à vous poser

Ce nouveau règlement RGPD concerne toutes les entreprises et organisations qui collectent, traitent et stockent des données à caractère personnel de personnes résidant dans l’Union Européenne. Votre entreprise est donc directement concernée par cette mesure et se trouve dans l’obligation de l’appliquer. Mais par où commencer ? Voici quelques questions essentielles : 

  • Mon entreprise stocke-t-elle des données personnelles ? 
  • Comment ont-elles été obtenues ?
  • Les personnes concernées peuvent-elles consulter / modifier / supprimer ces données ? 
  • Comment ces données sont-elles utilisées ? 
  • Les personnes concernées ont-elles été averties de l’usage qui sera fait de leurs données personnelles (emailing par exemple) ?
  • Comment les données sont elles exploitées et dans quel but ? 
  • Qui traite les données ?
  • Où sont-elles hébergées ? 
  • Sont-elles suffisamment protégées contre le vol et les intrusions ?

RGPD étape 1 : Recenser l’ensemble des données collectées

Les entreprises, quelles que soient leur taille et leur activités sont amenées à collecter un certain nombre de données sur leurs clients, fournisseurs, partenaires ou employés. Voici celles considérées comme données personnelles dans la RGPD : nom, prénom, genre, âge, taille, poids,  adresse, e-mail, adresse IP, situation familiale, opinion politique ou religieuse, orientation sexuelle, données biométriques, données relatives à la santé. Si votre entreprise collecte, d’une manière ou d’une autre ce type de données, vous devez alors appliquer les recommandation de la CNIL et vous conformer à la RGPD. 

RGPD étape 2 : Obtenir le consentement explicite des utilisateurs

Dorénavant, les entreprises doivent pouvoir prouver qu’elles ont obtenu le consentement préalable et explicite de chaque utilisateur dont elles collectent les données personnelles.

Le consentement de l’internaute au traitement de ses données doit être exprimé de façon claire par une action de sa part. Cela signifie que vos utilisateurs doivent notifier librement et activement leur consentement pour le traitement de leurs informations, par une case à cocher par exemple.

RGPD étape 3 : Prendre les principales mesures de protection des données

La RGPD comporte « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». 

  • Désigner parmi vos collaborateur un DPO (Data Protection Officer) charger de veiller au respect du RGPD au sein de l’entreprise
  • Prendre des mesures spécifiques de traitement et hébergement des données les plus sensibles, c’est à dire celles qui présentent des risques élevés d’atteinte aux droits et libertés des personnes.
  • Mettre en place des procédures internes (bonnes pratiques, gestion de crise, gestion des réclamations..) et veiller au respect de ces procédures par les collaborateurs
  • Documenter soigneusement l’ensemble des actions relatives à la protection des données (études, registre des traitement, preuves de consentement…).

Que risque une entreprise qui ne respecte pas le RGPD ? 

La CNIL veille à l’application de la réglementation RGPD dans les entreprises françaises. Sa mission : conseiller, contrôler et sanctionner les entreprises afin que le règlement soit respecté.

En cas de non-conformité votre entreprise pourra être sanctionnée. Dans un premier temps, vous recevrez un avertissement. Si vous ne prenez pas les mesures nécessaires, votre entreprise devra s’acquitter d’une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires. D’autre part, en cas de violation de données (intrusion, piratage), l’entreprise a l’obligation d’en avertir la CNIL dans les 72h suivant l’incident. Il est donc primordial de protéger les données de votre entreprise et d’être en mesure de détecter rapidement une intrusion afin d’intervenir dans les plus brefs délais.

Comment protéger les données au sein de l’entreprise ? 

Il n’est pas facile d’appliquer correctement le RGPD si votre entreprise ne dispose pas d’un service informatique ou d’un technicien en interne. Dans ce cas là, votre prestataire en infogérance peut vous aider à sécuriser vos données d’entreprise afin d’être en conformité avec le RGPD. 

  • Former l’ensemble de vos collaborateurs aux bonnes pratiques relatives à la protection des données informatiques
  • Mettre en oeuvre une politique stricte de gestion des droits d’accès aux données.
  • Mettre à jour les applications et logiciels de l’entreprise
  • Prévoir des processus de traitement et d’accès aux données ainsi que des procédures en cas d’attaque ou d’intrusion. 
  • Mettre en place des outils de protection des données informatiques (antivirus, détection comportementale, filtrage…)
  • Organiser une sauvegarde régulière de vos données d’entreprise.
  • Mettre en place un système de monitoring afin de détecter rapidement toute activité suspecte. 
  • Prodiguer des conseils d’experts pour sécuriser votre infrastructure et limiter les failles de sécurité. 

Les experts informatiques Nowteam vous aident à mettre votre entreprise en conformité avec le RGPD. N’hésitez pas à nous contacter pour bénéficier des conseils d’un interlocuteur dédié.