Prêt pour le GDPR? Rappel de quelques principes pratiques

Pratique
Par Xavier Biermez · 02/05/2018

C’est le 25 mai 2018 que le règlement RGPD entrera en vigueur et il aura un impact sur toutes les entreprises qui utilisent des données de citoyens européens. L’objectif de l’Union européenne avec ce nouveau règlement est de mieux protéger les données de ses citoyens. Ces derniers jouiront par exemple du “droit à l’oubli” et pourront ainsi faire supprimer des données ou des informations anciennes dont ils estiment qu’elles sont erronées ou ont été acquises de façon inappropriée. 

Les organisations devront faire preuve d’une transparence totale si elles sont interrogées sur ces données et communiquer quelles données à caractère personnel sont en leur possession [ce qu’on appelle les IIP = informations d’identification personnelle], de quelle façon elles les utilisent, comment elles les ont acquises, et à qui elles les transmettent. Si elles ne se conforment pas à la règlementation, elles risquent une amende pouvant s’élever à 4 % de leur chiffre d’affaires total, ou 20 millions d’euros par infraction.

Bien que l’échéance soit très proche, beaucoup d’entreprises sont loin d’être prêtes pour le RGPD et ont encore un grand nombre d’aspects techniques, organisationnels et juridiques à régler. Voici trois points pratiques :

  1. Un système ISMS = la moitié du travail

    Pour répondre aux exigences du RGPD, les entreprises peuvent utiliser des procédures existantes. Par exemple, celles qui possèdent déjà un système ISMS (système de gestion de la sécurité de l’information) qui fonctionne bien, qui est à jour et qui est conforme à la norme ISO 27001, ont déjà fait la moitié du travail. La seule chose qu’il leur reste à faire, c’est d’élargir la portée du système, d’adapter les processus qui nécessitent une protection des données et de mettre en place des contrôles supplémentaires conformément à la loi. C’est relativement simple si les processus précédents ont été correctement implémentés dans la pratique.

  2. Analyse de la situation et contrôle des processus

    Les entreprises doivent avant tout soigneusement analyser leur situation actuelle, identifier les tâches accomplies ou inachevées, et dresser une liste des priorités. Une infrastructure qui n’est plus à jour, et qui par conséquent n’est plus “sûre”, peut constituer un obstacle majeur. Les systèmes de réseaux (par exemple, les solutions cloud, les applications de partenaires ou les chaînes d’approvisionnement) doivent eux aussi être pris en considération. Ensuite, les entreprises doivent déterminer si les mesures à implémenter peuvent l’être avec l’infrastructure existante ou s’il est nécessaire de faire l’acquisition de nouveaux matériels ou logiciels.

  3. Sécurisation de pointe

    Le RGPD prescrit des mesures de sécurisation à la pointe de la technique, notamment des mécanismes de défense contre des attaques DDoS (déni de service distribué) massives, des logiciels anti-virus et anti-maliciels (programmes malveillants), et des appareils d’identification et d’authentification strictes. Un pare-feu de nouvelle génération bénéficiera par exemple des tout derniers développements technologiques, ce qui ne sera pas le cas d’un pare-feu IPtable. Une analyse des risques aide également à définir les endroits où des mesures sont souhaitées ou nécessaires.

Bien que le RGPD présente de nombreuses similitudes avec des réglementations antérieures, les entreprises doivent revoir leurs mesures de conformité dans leur totalité. Sur le plan des données personnelles, elles ne doivent donc pas uniquement passer au crible leur propre façon de fonctionner mais également les procédures de tous leurs fournisseurs et partenaires dans le monde qui traitent et enregistrent des données de ce genre.

Le risque accru induit la nécessité d’une gestion plus stricte des risques qui met l’accent sur les conséquences de la protection des données. En outre, les contrats de traitement de données doivent être adaptés en collaboration avec les prestataires de services ou doivent être remplacés par de nouveaux. Il faudra également revoir les descriptions des procédures existantes.

Xavier Biermez

Managing Director

Konica Minolta Business Solutions Belgium