RGPD: cinq points-clés pour surmonter l’épreuve

30 Mars 2018 Par Paperjam.lu
RGPD
Le RGPD entrera en vigueur le 25 mai 2018 dans tous les pays de l’Union européenne. Seuls 14% des entreprises interrogées se disent prêtes.
(Photo: Fotolia)

Le RGPD (règlement général sur la protection des données) entrera en vigueur le 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, petites et grandes, il est temps de se préparer activement. Car en cas de manquement aux dispositions légales, les sanctions seront lourdes: 4% du chiffre d’affaires et jusqu’à 20 millions d’euros d’amende!

S’il n’est pas encore trop tard, il est tout de même grand temps pour les entreprises de s’interroger sur leur conformité avec les nouvelles règles de protection des données des clients fixées par le RGPD. Pour les retardataires – selon une étude réalisée par IDC, seuls 14% des entreprises interrogées se disent prêtes –, voici comment s’assurer d’être dans les clous du RGPD.

1. Se faire accompagner

Les conséquences sont trop sérieuses pour considérer la bonne fortune comme une stratégie. Les entreprises de petite et moyenne taille ont tout intérêt à s’entourer de prestataires experts en sécurité informatique. Les prestataires «cloud» et les intégrateurs peuvent aider les entreprises à dresser un état des lieux objectif du niveau de sécurisation des données personnelles de leurs clients afin de définir une feuille de route des actions à mener.

2. Hiérarchiser les priorités

Une fois la cartographie des processus liés aux données dans l’entreprise, de la collecte au nettoyage en passant par le stockage ou l’exploitation, les failles et les axes d’amélioration identifiés, il ne faut pas s’éparpiller. Mais agir en mode projet, de façon à sensibiliser et fédérer tous les services impliqués dans la mise en conformité avec le RGPD. 

3. Choisir les solutions certifiées

Pour garantir la conformité du système d’information de l’entreprise avec la réglementation, mieux vaut recourir à des solutions techniques certifiées BCR compliant («binding corporate rules»). En optant pour une solution BCR compliant, la responsabilité de l’entreprise est en partie dégagée.

4. Accompagner le changement

Vouloir réduire le RGPD à un simple arsenal technique serait une erreur. De nombreux incidents susceptibles de compromettre l’intégrité des données sont liés à des comportements inadaptés des salariés. Il est donc essentiel de former et de sensibiliser les collaborateurs aux bonnes pratiques en matière de sécurité, notamment dans le cadre de l’utilisation des outils de productivité mobile (ordinateurs portables, smartphones et tablettes), souvent exploités à la fois dans le cadre privé et professionnel.

5. Nommer un DPO, le grand challenge

Que vous l’appeliez DPO («data protection officer») ou DPD («délégué à la protection des données»), ce référent sera le garant des méthodes de collecte, de gestion et de protection des données générées par l’entreprise. Il lui incombera notamment de déclarer dans les 24 heures tout incident affectant des données personnelles relatives aux clients de l’entreprise. Cette nomination pourrait rapidement tourner au casse-tête car la pénurie de profils guette. Pour connaître le rôle précis du DPO, les entreprises peuvent se référer aux recommandations du G29, un groupe de travail qui fédère les organismes nationaux en charge de la protection des données personnelles dans les pays de l’UE.

La rédaction a choisi pour vous

Cyril Pierre-Beausse

22 Mars 2018

Facebook est dans la tourmente après la révélation du siphonnage des données de 50 millions d’utilisateurs par Cambridge Analytica à des fins de manipulation en pleine campagne électorale américaine. Un accident révélateur des enjeux qui se trament autour de la protection des données, à deux mois de l’entrée en vigueur dans l’UE du RGPD, selon Me Cyril Pierre-Beausse, fondateur du cabinet d’avocats Claw spécialisé dans l’IT et la propriété intellectuelle.

RGPD

12 Février 2018

L’entrée en vigueur, en mai prochain, du règlement européen sur la protection des données (RGPD) est saluée par la Chambre de commerce qui note toutefois qu’il sera synonyme de charges administrative et financière supplémentaires pour les entreprises.

Viviane Reding

08 Mars 2018

Le règlement général sur la protection des données (RGPD) deviendra réalité le 25 mai prochain. À moins de 100 jours de l’entrée en vigueur de cette législation initiée par Viviane Reding, l’eurodéputée rappelle les règles prévues en faveur des PME traditionnelles et les multiples avantages que les start-up pourront tirer de l’élimination des entraves sur le marché.