Laurent Abric

RGPD ou GDPR : Une opportunité d’évolution du Système d’Information des entreprises

Comme vous le savez, le Règlement Général sur la Protection des Données (General Data Protection Regulation en anglais) est entré en vigueur depuis le 25 mai 2018. Ce nouveau règlement à l’échelle européenne peut être vu comme une évolution de la loi française du 6 janvier 1978 relative à l’informatique et aux libertés. (Les détails : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee ).

Il ajoute à cette loi notamment le renforcement des droits des personnes, le Privacy by Design, l’encadrement des transferts de données en dehors de l’Union Européenne, la responsabilisation des sous-traitants et surtout l’obligation de rendre des comptes pour les responsables de traitements (principe d’accountability).
Dernier point non négligeable, les sanctions ont été alourdies et peuvent aller jusqu’à 4% du Chiffre d’Affaire du groupe auquel est rattachée l’entreprise contrôlée.
Ce règlement impose aux entreprises publiques ou privées de maitriser leurs données personnelles, tant pour les clients que pour les salariés.

Une multitude de (nouvelles) questions à traiter pour les entreprises
  • Où sont stockées les données personnelles ?
  • Quelles sont les durées de stockage des données personnelles ?
  • Où se trouve leur lieu de stockage ?
  • Est-ce que ce lieu de stockage est dans l’Union Européenne ?
  • Pourquoi les données personnelles ont-elles été collectées ?
  • Comment sont-elles protégées ?
  • Qui peut accéder aux données personnelles et dans quel but ?
  • Ai-je recueilli les consentements des personnes concernées ?
  • Puis-je supprimer des données personnelles à la demande des personnes concernées ?
  • Les personnes concernées peuvent-elles modifier leurs données personnelles ?
  • Est-ce qu’on a besoin d’en collecter autant ?
  • Etc …

Autant de questions auxquelles toutes les entreprises ne savaient pas forcément répondre avant le 25 Mai 2018, alors que certaines étaient déjà posées depuis la loi de 1978. Mais toutes les entreprises doivent maintenant être en mesure d’apporter une réponse à l’autorité de contrôle (La CNIL en France).
En effet les premières sanctions commencent à tomber. Même pour Google qui vient de prendre une sanction record de 50 millions d’euros ( https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la ).

Comment se préparer à répondre aux questions ?

Pour démarrer un projet de mise en conformité RGPD, la première étape consistera à faire une analyse d’écart (ou gap analysis) entre le Système d’information de l’entreprise et le RGPD. Celle-ci vous permettra de générer un plan d’actions pour tracer le chemin vers la conformité RGPD.

Cette analyse d’écart va vous obliger à faire des PIA (Privacy Impact Assessment – analyse d’impact sur la vie privée, ou Analyse d’Impact relative à la Protection des Données – Data Protection Impact Assessment – AIPD ou DPIA) si vous traitez des données sensibles ou si le traitement engendre des risques élevés sur les droits des personnes.
La CNIL fournit gratuitement un outil pour faire des PIA :   https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
La définition des données sensibles se trouve dans l’article 9 : https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre2#Article9 .

Si vous traitez des données personnelles, le plan d’actions contiendra a minima :

Plus qu'un projet de sécurité, une véritable opportunité de transformation

Ce projet est un vrai projet d’entreprise qui va impacter tout le SI et le fera évoluer pour devenir « data-centric ». Ainsi, la sécurisation et la gestion des données personnelles sont une réelle opportunité de faire évoluer l’entreprise, la connaissance et la maîtrise des données business qui étaient souvent peu connnues et exploitées.

Si vous avez besoin d’aide pour mener à bien ce projet, nos consultants experts sauront vous aider à converger vers la conformité RGDP.

Articles associés

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

18 décembre 2019
L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]
Partager cet article
Derniers articles

Réseau et Sécurité, amalgame pour un échec

Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]

La Gestion des mots de passe : Complexité vs Mémorisation

  Pour se connecter à votre téléphone portable, à votre ordinateur, à votre compte bancaire, à votre compte professionnel ou personnel, aux différentes plateformes de votre entreprise ou faire des achats en ligne, le mot de passe est devenu incontournable pour protéger l’accès aux données, aux systèmes d’informations et plus généralement à sécuriser les différentes […]

La reconnaissance faciale est-elle le nouveau Big Brother?

Il n’y a pas si longtemps, pouvoir identifier de manière automatique les personnes qui transitaient par une rue, les suivre, tracer leurs mouvements et dépenses à travers leurs achats, connaître leurs états d’âme, leurs origines, leur genre, relevait de la science fiction. Cette technologie qui permet tout cela aux autorités, et pas uniquement, est parmi […]