Le RGPD entre en vigueur


Analyse de données par des employés d'une entreprise

C’est officiel : le RGPD, Règlement européen sur la protection des données, est mis en œuvre ce 25 mai 2018. Qu’est-ce que cela signifie pour votre entreprise ? Voici 6 questions essentielles à vous poser pour la protéger et répondre à vos obligations.

Qu’est-ce que le RGPD ?

Le RGPD (Règlement Général pour la Protection des Données) ou GDPR (General Data Protection Regulation) est la nouvelle réglementation qui vise à renforcer et harmoniser la protection des données personnelles des résidents de l’Union Européenne. Elle vient remplacer la directive de 1995 sur la protection des données et renforcer la Loi informatique et Libertés de 1978.

Qui est concerné ?

Ce nouveau règlement concerne toutes les entreprises et organisations (associations, administrations, collectivités locales, syndicats…) qui collectent, traitent et stockent des données à caractère personnel de personnes résidant dans l’Union Européenne.

RGPD : quelles sont les règles ?

Le RGPD regroupe un certain nombre de règles relatives à la protection des données personnelles du consommateur. Deux grands axes à retenir :

Le renforcement du droit des personnes

L’information concernant l’usage de ses données doit être claire et compréhensible pour l’utilisateur, et l’expression de son consentement non ambiguë. Il accède à de nouveaux droits dont celui de la portabilité qui lui permet de récupérer les données fournies et de les transférer ailleurs. Parmi ces nouveaux droits, on trouve aussi le « droit à l’oubli », qui permet d’obtenir l’effacement des données personnelles.

La responsabilisation des acteurs traitant des données

Dès la conception du produit ou du service, l’entreprise (responsables de traitement et sous-traitants) doit mettre en place une politique de protection des données (Privacy by design). Cette procédure interne doit pouvoir démontrer à tout moment la prise en compte de la protection des données personnelles (Accountability). Le principe de « minimisation », lui, oblige l’entreprise à limiter la quantité de données traitée dès le départ.

En tant qu’entreprise, qu’est-ce que je risque ?

C’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui veille à l’application de la réglementation. Sa mission : conseiller, contrôler et sanctionner les entreprises afin que le règlement soit respecté.

Les entreprises peuvent notamment désigner un Data Protection Officer (DPO) ou Délégué à la protection des données, en charge du respect des règles RGPD.

En cas de non-conformité avec la Loi, l’entreprise sera sanctionnée après avertissement par une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4 % du Chiffre d’affaires.

Exemple concret : Un cabinet médical est victime d’un acte de malveillance par un ancien employé. Via un système informatique, ce dernier récupère l’ensemble des données médicales des patients. Dans ce cas de violation de données, l’entreprise a l’obligation de notifier à la CNIL dans les 72 h le risque d’atteinte aux données personnelles si elle veut éviter une sanction.

Comment prendre le virage RGPD ?

Face à l’obligation de mise en conformité avec le RGPD, il est vous fortement recommandé de :

  • désigner un DPO pour informer, conseiller et contrôler le respect du règlement ;
  • tenir un registre des traitements de données ;
  • réaliser une analyse préalable de l’impact des traitements qui présentent des risques élevés d’atteinte aux droits et libertés des personnes ;
  • assurer l’organisation de procédures internes (bonnes pratiques, gestion de crise, gestion des réclamations..) ;
  • documenter l’ensemble des actions relatives à la protection des données (études, registre des traitement, preuves de consentement...).

Comment protéger mon entreprise contre les cyber risques ?

Selon Antoine Denoix, Directeur Marketing data et Digital d’AXA France et auteur du livre « Big Data, Smart Data, Stupid Data »(1) : « Une entreprise sur la data, quelle que soit sa taille, ne peut pas rester immobile. En 2018, elle est sous l’étroite surveillance du hacker et du régulateur (ndlr : RGPD). Ces deux personnages la suivent et la bousculent lorsqu’elle ne protège pas ses données. De fait, une entreprise doit réagir. »(2)

Une cyber attaque peut avoir de multiples conséquences (atteinte à la confidentialité des données, cryptage de données, cyber extorsion de fonds…) et entrainer des répercussions graves sur votre activité et votre image.

Afin de prévenir les cyber risques, vous devez mettre en place des mesures organisationnelles et techniques, par exemple :

  • sensibiliser et former l’ensemble des collaborateurs de l’entreprise à la vigilance et aux bons réflexes ;
  • gérer les droits d’accès par une politique dédiée ;
  • mettre à jour les logiciels opérationnels de gestion, de process et de production ;
  • mettre en place des outils de protection (antivirus, détection comportementale, filtrage…) ;
  • organiser une sauvegarde fréquente de vos données ;
  • nommer des collaborateurs (responsables, experts et communicants) mobilisables en cas de crise.

Avec une assurance dédiée, vous maitrisez vos risques cyber et pouvez réagir en cas d’attaque.

AXA propose Cyber Secure, une solution complète et modulable pour faire face aux nouvelles menaces informatiques. Avec cette assurance, protégez votre entreprise contre les cyber risques. 

>> Découvrir l’offre Cyber secure AXA

>> En savoir plus sur le RGPD

 

Sources

(1) « Big Data, Smart Data, Stupid Data : comment (vraiment) valoriser vos données ? » (Dunod - Janvier 2018)

(2) Interview pour Frenchweb - Mars 2018

Trouver un conseiller près de chez vous