RGPD : où en sommes-nous ? Entré en vigueur le 25 mai dernier, nombreuses sont les entreprises qui se sont pas encore mise en conformité. Petit décryptage des principales obligations à mettre en place …
Le RGPD qu’est-ce que c’est ?
Le règlement général sur la protection des données (RGPD) est la nouvelle loi européenne qui concerne le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits.
L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, ayant pour but de remplacer une directive datant de 1995.
Ce nouveau règlement a pour ambition de :
- Harmoniser les lois sur la confidentialité des données au niveau européen
- Rassurer les consommateurs quant au traitement et à la sécurisation de leurs données personnelles
- Sensibiliser l’ensemble des entreprises sur les opérations de collecte des données
- Renforcer les droits des citoyens européens
A date, le RGPD impose aux entreprises traitant des données à caractère personnel plusieurs obligations :
- Garantir la sécurité maximale des données personnelles
- Demander en aval le consentement des personnes concernées
- Etre transparente dans le traitement des données
- Respecter les droits de la personne concernée lors du traitement des données
- Tenir un registre des traitements de données – ce registre est obligatoire quand le volume d’une entreprise dépasse les 250 personnes
- Nommer un délégué à la protection des données (DPO)
- Effectuer des analyses d’impact préalable aux traitements des données personnelles permettant de gérer au préalable les risques éventuels lors du traitement
Quelles entreprises sont concernées par le RGPD ?
La loi RGPD concerne toutes les entreprises traitant des données personnelles, quelle que soit leurs tailles. Le secteur d’activité de l’entreprise n’a aucun impact sur la mise en conformité du fonctionnement de l’entreprise au RGPD. Du moment où elle collecte, traite et stock des données personnelles des citoyens de l’Union Européenne.
Pour exemple :
- Les petites entreprises
- Les PME
- Les grandes entreprises
- Les organismes publics
- Les organismes privés
- Les entreprises B2C & B2B
Quelles sont les sanctions en cas de non-conformité ?
Les entreprises et organismes ne respectant pas les nouvelles directives s’exposeront à des sanctions financières, graduées en fonction du type de violation du RGPD.
Le processus de sanction :
- Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
- Etape 2 : Injonction de cesser la violation
- Etape 3 (selon les cas) : Limitation ou suspension temporaire des traitements de données
- Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle
Fort de toutes ces nouvelles directives, il est donc évident que le RGPD nous pousse à trouver un sens à la sécurité informatique grâce à l’application des bonnes pratiques de sécurité et de confidentialité.
- Respecter les éléments élémentaires c’est :
- Limiter les accès aux outils et interface d’administration
- Adopter un politique spécifique de mot de passe-
- Renforcer les mises à jour critique
- Opter pour la localisation des données en Europe et non plus à l’étranger
- Développer des applications intégrant dès le début de développement des notions de sécurité et le droit à l’oubli
- Pour les serveurs d’entreprise, c’est mettre ne place des protections au niveau des circuit intégrés afin d’empêcher les violations de systèmes via les firmware
Toujours au fait des changements liés à son secteur d’activité et à l’actualité, Systres Group et ses consultants mettent un point d’honneur à respecter ces nouvelles directives en appliquant à la base les éléments de sécurité lorsqu’il vous accompagne sur :
- Le réseau
- Le développement
- L’infrastructure
- La production de manière générale