Règlement général sur la protection des données (RGPD) : PME, où en êtes-vous ?

Temps de lecture : 4 minutes

Le règlement général sur la protection des données (General Data Protection Regulation ou RGPD) entrera en vigueur le 25 mai 2018. Son objectif : renforcer le cadre juridique relatif à la protection des données à caractère personnel dans l’Union européenne à travers plusieurs mesures visant à responsabiliser les acteurs – grands groupes, start-up ou PME – qui travaillent avec ce type de données.

Alors qu’il reste moins d’un an aux entreprises pour se mettre en conformité quant à la confidentialité, l’accès et le traitement des données collectées, sous peine de lourdes sanctions, elles sont encore nombreuses à ne pas avoir pris la mesure des aménagements à mettre en place. Mais de quoi s’agit-il exactement ? Êtes-vous concerné ? Comment vous mettre en conformité ? Nous faisons le point.

Replay

Vers un numérique plus durable et soutenable

Découvrez la proposition de Microsoft pour un numérique soutenable et durable traduite en 21 actions.

Visionner le replay

C’est en avril 2016 qu’une commission du Parlement européen a adopté le règlement général sur la protection des données (General Data Protection Regulation, GDPR). Applicable dès le 25 mai 2018 dans tous les Etats membres, il est « obligatoire dans tous ses éléments » et devra être respecté indépendamment de la taille de l’entreprise : autrement dit, les PME devront se mettre en conformité au même titre que les grands groupes et ce, même si la donnée n’est pas leur cœur de métier. L’application du RGPD est extraterritoriale, c’est-à-dire que les entreprises établies hors de l’UE traitant des données relatives aux activités des organisations de l’Union et les sociétés non-européennes ciblant les résidents de l’UE sont, elles aussi, concernées.

Quelles sont les principales dispositions du RGPD ?

Le RGPD permet d’harmoniser les règles relatives à la protection des données personnelles recueillies, évitant ainsi la fragmentation des lois nationales. Il est né de la volonté de permettre aux citoyens d’exercer davantage de contrôle sur leurs données. Cela passe par plusieurs mesures concrètes :

  • l’instauration d’un consentement « explicite » et « positif » en amont de l’exploitation des données personnelles ;
  • - le droit à l’effacement, dans les meilleurs délais ;
  • - le droit à la portabilité: l’entreprise a l’obligation légale de pouvoir envoyer leurs données aux citoyens qui en font la demande, dans un format structuré et couramment utilisé, ou les transmettre directement à un autre fournisseur de services si c’est le choix de la personne concernée,
  • - le droit d’être informé en cas de piratage ;
  • - des exigences strictes en matière de qualité de protection, avec notamment une règle de « sécurité par défaut », qui impose à toute organisation de disposer – d’un système d’information sécurisé afin de prévenir toute violation des données ;
  • mais aussi la nomination d’un délégué à la protection des données (data protection officer) en charge de la bonne conservation des données, ou la publication des politiques relatives à la vie privée dans un langage clair et compréhensible.

Les entreprises qui ne respecteront pas les différentes mesures de cette nouvelle réglementation risqueront une amende pouvant s’élever jusqu’à 4 % de leur chiffre d’affaires mondial annuel.

 Consultez le texte intégral sur le site de la CNIL.

Juillet 
29
9h30
Microsoft Security Virtual Training Day – Pro… À mesure que vos collaborateurs optent de plus en plus pour le télétravail, la protection des informations de votre organisation et la gestion des risques doivent être une priorité absolue. L’événement Microsoft Secur… Visionner En savoir plus

Le compte à rebours est enclenché

Selon une étude IDC, en mai 2017, 77% des décideurs informatiques n’étaient pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’avaient même pas connaissance de ce règlement et de son usage… Et nombreuses étaient les petites entreprises à reconnaître que leur dispositif de sécurité actuel était limité et insuffisant, alors qu’il s’agit de l’un des points essentiels du RGPD et que, parallèlement, les menaces évoluent en permanence et les attaques informatiques contre les bases de données s’intensifient toujours davantage.

Pourtant, l’urgence est là. Et, pour Marc Mossé, directeur des affaires juridiques chez Microsoft Europe, il est essentiel de bien s’entourer :

 Il faut s’assurer que ce règlement, qui est parfois un peu complexe, soit accompagné d’explications, notamment pour les PME. Pour les grands groupes, on va s’adapter : on investit déjà beaucoup pour être parfaitement conformes au règlement lorsqu’il sera en vigueur en 2018. Mais il va falloir aider les PME pour qu’elles soient complètement dans le nouveau modèle.

Mars 
30
10h00
Prévenir la fuite d’informations dans Teams (… Ce webinar sera l’occasion de vous faire découvrir et de vous informer sur la protection de l’information et des données dans Teams.   Au programme :   – Identification de l’information sensibl… Visionner En savoir plus

La CNIL propose un plan d’action en six étapes. La première est de nommer un délégué à la protection des données, c’est-à-dire un pilote qui orchestrera les actions à mener en interne. C’est lui qui pourra notamment cartographier vos traitements de données, et vous permettra ainsi de mesurer plus précisément l’impact du GDPR sur votre activité et de prioriser les actions à mener.  Si vous identifiez des traitements susceptibles d’engendrer des risques élevés, vous devrez enclencher une étude d’impact sur la protection des données (PIA).

Il est également nécessaire d’organiser les processus internes, rappelle la CNIL, puisque ce sont eux qui permettront d’assurer un haut niveau de protection des données, en permanence. Enfin, il est essentiel de documenter votre conformité, afin de pouvoir, si besoin, examiner et compléter les documents retraçant les actions menées et prévues. N’oubliez pas également de prévenir vos prestataires et partenaires de toute modification majeure de votre politique de sécurité informatique si elle a un impact sur eux.

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article