Le règlement général sur la protection des données (General Data Protection Regulation ou GDPR) entrera en vigueur le 25 mai 2018. Son objectif : renforcer le cadre juridique relatif à la protection des données à caractère personnel dans l’Union européenne à travers plusieurs mesures visant à responsabiliser les acteurs – grands groupes, start-up ou PME – qui travaillent avec ce type de données.

Alors qu’il reste moins d’un an aux entreprises pour se mettre en conformité, sous peine de lourdes sanctions, elles sont encore nombreuses à ne pas avoir pris la mesure des aménagements à mettre en place. Mais de quoi s’agit-il exactement ? Êtes-vous concerné ? Comment vous mettre en conformité ? Nous faisons le point.

PME_RGPD

C’est en avril 2016 que le Parlement européen a adopté le règlement général sur la protection des données (General Data Protection Regulation, GDPR). Applicable dès le 25 mai 2018 dans tous les Etats membres, il est « obligatoire dans tous ses éléments » et devra être respecté indépendamment de la taille de l’entreprise : autrement dit, les PME devront se mettre en conformité au même titre que les grands groupes et ce, même si la donnée n’est pas leur cœur de métier. L’application du GDPR est extraterritoriale, c’est-à-dire que les entreprises établies hors de l’UE traitant des données relatives aux activités des organisations de l’Union et les sociétés non-européennes ciblant les résidents de l’UE sont, elles aussi, concernées.

Quelles sont les principales dispositions du GDPR ?

Le GDPR permet d’harmoniser les règles relatives à la protection des données personnelles, évitant ainsi la fragmentation des lois nationales. Il est né de la volonté de permettre aux citoyens d’exercer davantage de contrôle sur leurs données. Cela passe par plusieurs mesures concrètes :

  • l’instauration d’un consentement « explicite » et « positif » en amont de l’exploitation des données personnelles ;
  • le droit à l’effacement, dans les meilleurs délais ;
  • le droit à la portabilité: l’entreprise doit pouvoir envoyer leurs données aux citoyens qui en font la demande, dans un format structuré et couramment utilisé, ou les transmettre directement à un autre fournisseur de services si c’est le choix de la personne concernée,
  • le droit d’être informé en cas de piratage ;
  • des exigences strictes en matière de protection, avec notamment une règle de « sécurité par défaut », qui impose à toute organisation de disposer d’un système d’information sécurisé ;
  • mais aussi la nomination d’un délégué à la protection des données ou la publication des politiques relatives à la vie privée dans un langage clair et compréhensible.

Les entreprises qui ne respecteront pas ces différentes mesures risqueront une amende pouvant s’élever jusqu’à 4 % de leur chiffre d’affaires mondial annuel.

Le compte à rebours est enclenché

Selon une étude IDC, en mai 2017, 77% des décideurs informatiques n’étaient pas conscients de l’impact du GDPR sur l’activité de leur entreprise ou n’avaient même pas connaissance de ce règlement… Et nombreuses étaient les petites entreprises à reconnaître que leur dispositif de sécurité actuel était insuffisant, alors qu’il s’agit de l’un des points essentiels du GDPR et que, parallèlement, les menaces évoluent en permanence et les attaques informatiques s’intensifient toujours davantage.

Pourtant, l’urgence est là. Et, pour Marc Mossé, directeur des affaires juridiques chez Microsoft Europe, il est essentiel de bien s’entourer :

« Il faut s’assurer que ce règlement, qui est parfois un peu complexe, soit accompagné d’explications, notamment pour les PME. Pour les grands groupes, on va s’adapter : on investit déjà beaucoup pour être parfaitement conformes au règlement lorsqu’il sera en vigueur en 2018. Mais il va falloir aider les PME pour qu’elles soient complètement dans le nouveau modèle. »

La CNIL propose un plan d’action en six étapes. La première est de nommer un délégué à la protection des données, c’est-à-dire un pilote qui orchestrera les actions à mener en interne. C’est lui qui pourra notamment cartographier vos traitements de données, et vous permettra ainsi de mesurer plus précisément l’impact du GDPR sur votre activité et de prioriser les actions à mener.  Si vous identifiez des traitements susceptibles d’engendrer des risques élevés, vous devrez enclencher une étude d’impact sur la protection des données (PIA).

Il est également nécessaire d’organiser les processus internes, rappelle la CNIL, puisque ce sont eux qui permettront d’assurer un haut niveau de protection des données, en permanence. Enfin, il est essentiel de documenter votre conformité, afin de pouvoir, si besoin, examiner et compléter les documents retraçant les actions menées.

 

Source: Microsoft

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *