7 points pour assurer sa conformité avec le GDPR
Temps de lecture : 5 minutes
Publié le 17 novembre 2017
La date du 25 mai 2018 étant passée, PME, grandes entreprises, start-up… toutes les organisations doivent être en conformité avec le Règlement Général sur la Protection des Données (RGPD ou GDPR, 2016/679), adopté le 14 avril 2016 par le Parlement européen. Objectif ? Renforcer la sécurité des données personnelles et contrôler plus efficacement les manquements au règlement. En sept points, nous vous proposons de mieux comprendre le RGPD : à qui s’adresse-t-il, comment s’y conformer et comment transformer cette nouvelle législation en avantage concurrentiel.
1/ Qu’est-ce que le RGPD ?
Le RGPD a pour principale vocation de renforcer la protection et la confidentialité des données personnelles de chaque citoyen européen. Cette nouvelle législation – qui remplace la Directive sur la protection des données personnelles de 1995 – s’avère riche en améliorations. Effectivement, qu’il s’agisse de prévention, de protection ou de transparence, le RGPD a été pensé pour instaurer un contrôle plus poussé quant à la collecte et l’usage des données et une réactivité plus optimisée en cas de fuite de celles-ci.
Cette nouvelle réglementation intervient dans une double conjoncture. D’un côté, une forte progression des volumes de données, avec 40 zettaoctets d’ici 2020. De l’autre, des cyber-menaces de plus en plus nombreuses et de plus en plus sophistiquées.
2/ Qui est concerné ?
Contrairement à ce que l’on pourrait penser, le RGPD ne s’arrête pas aux frontières de l’Union européenne. De même, il ne s’adresse pas uniquement aux entreprises et aux organismes possédant des données sensibles relatives à la santé ou à la finance. Sont concernés par le RGPD l’ensemble des entreprises et autres organismes traitant ou stockant tout type de données à caractère personnel (noms, adresses, numéros de téléphone et de compte, adresses e‑mail et IP, etc) issues de citoyens de l’UE.
Ainsi, la localisation géographique des détenteurs des données n’entre pas en compte et si une entreprise souhaite sous-traiter la gestion des données qu’elle a acquise, elle doit s’assurer que cela s’effectue dans le respect du RGPD. Enfin, les sociétés établies hors de l’Europe sont également soumises au règlement dans la mesure où elles proposent des biens et des services aux résidents de l’UE, ou les ciblent par le profilage.
3/ Quelles sont les obligations ?
Avec le RGPD, la législation sur les données s’étoffe de nouvelles obligations. Outre le principe d’extraterritorialité, le respect de la vie privée est établi dès la conception. S’inspirant du concept américain Privacy by Design (PdD), les principes de minimisation de la collecte et de la rétention de données, et l’accord obligatoire des personnes concernées sont formalisés d’entrée de jeu de manière plus explicite. De plus, à chaque traitement de données, une analyse systématique des risques d’atteinte à la vie privée devra être menée pour respecter les évaluations d’impact du RGPD.
Un autre point approfondi par le RGPD est le droit à l’effacement et à l’oubli. Objet de controverses, cette mesure permet à tout usager de demander la suppression de ses données personnelles. Là où le RGPD va plus loin, c’est qu’il étend ce droit à toutes les données publiées sur le Web. Enfin, avec la notification en cas d’atteinte aux données, les entreprises disposeront d’un délai de 72h à compter de la détection pour prévenir l’autorité de contrôle, ainsi que la personne concernée dans l’éventualité où cette fuite représenterait un danger quant à ses droits et libertés.
4/ Quels sont les risques en cas de non-respect ?
Pour que le RGPD ne soit pas pris à la légère, des sanctions financières dissuasives ont été pensées en cas de non-respect. Graduelles, les amendes pourront s’avérer significatives pour les organisations en infraction. En effet, celles-ci pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Ces amendes pénaliseront les manquements aux principes fondamentaux du RGPD tels que le respect de la vie privée dès la conception ou encore la notification en 72h.
5/ Comment s’y préparer ?
Avec le RGPD, de nombreuses formalités auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) vont laisser la place à une plus grande responsabilisation des entreprises. Afin d’être préparé, il est important de procéder étape par étape. Tout d’abord, il vous sera nécessaire de recruter (si ce n’est déjà fait) un délégué à la protection des données qui pilotera la gouvernance des données personnelles de votre structure. La mise en place d’un registre des traitements vous permettra également de faire le point et d’identifier les actions à mener pour vous conformer aux obligations du RGPD.
C’est à ce moment qu’intervient l’étape de gestion des risques : vous devrez en effet mener, pour chacun des traitements, une analyse d’impact sur la protection des données (Privacy Impacts Assessment). Afin de constamment garantir un niveau optimal de sécurité, des procédures internes devront être mises en place. Enfin, vous devrez prouver votre conformité au RGPD, documentation régulièrement actualisée à l’appui.
Insurmontable ? Pas avec les bons partenaires. Microsoft a développé de nombreux produits et services, déjà disponibles, pour vous aider à devenir et à rester conforme au RGPD. Les solutions de sécurité cloud vous aideront à identifier et cataloguer toutes les données personnelles présentes dans vos systèmes, à en simplifier la gestion et la surveillance ainsi qu’à bâtir un environnement plus sûr.
6/ Comment envisager le RGPD comme un atout ?
Oui, le RGPD peut faire peur, mais il faut aussi le voir comme une opportunité d’opérer une transformation plus globale. D’une part, sachant leurs données bien protégées et utilisées avec leur accord, vos clients vous accorderont une plus grande confiance et pourra alors se développer une relation solide et pérenne, essentielle pour le business. D’autre part, votre entreprise renforcera sa sécurité face aux cyberattaques dans un contexte où elles ne cessent de se démultiplier et d’évoluer.
7/ Comment faire du RGPD un levier de transformation ?
Au-delà des enjeux techniques et juridiques, le RGPD impacte l’organisation et la culture de l’entreprise, c’est donc l’opportunité de faire évoluer vos processus de gestion et de gouvernance des données. Autrement dit, de tout remettre à plat pour repenser la façon dont vous conservez et exploitez les données.
Cette évolution peut s’inscrire dans une stratégie plus globale de transformation de l’entreprise. L’analyse d’impact sur la protection des données est par exemple l’occasion de s’interroger sur les bénéfices collatéraux qui pourront être obtenus à travers la mise en conformité.
L’un des points de départ du RGPD consiste à consolider les flux de données afin d’aboutir à une vue unique pour chaque usager. Cette démarche implique des opérations de dédoublonnage, suppression ou identification de données manquantes qui serviront de fondations à la mise en conformité mais aussi à la transformation. En effet, cette vue unique et « propre » de chaque usager, de son historique à ses centres d’intérêt, est un atout précieux pour l’entreprise, puisqu’elle pourra l’aider à optimiser les parcours et interactions avec les usagers. C’est aussi l’opportunité de connecter toutes les fonctions de l’entreprise, des ventes au service client, en passant par le marketing… Et de s’orienter vers un modèle toujours plus centré sur la donnée et l’analytics, ces derniers devenant alors de véritables vecteurs de changement et d’innovation.
Alors, vous êtes prêt ?
