Nouveau règlement européen GDPR

Que dit le nouveau règlement européen qui s’appliquera en mai 2018

La GDPR (General Data Protection Regulation), c’est le nouveau règlement européen qui s’appliquera en 2018 à tous les acteurs économiques de l’Union européenne en matière de protection des données à caractère personnel. Les sociétés non européennes seront également soumises au règlement si elles ciblent les résidents de l’Union européenne. Ce règlement a pour objectif de renforcer la protection des données personnelles.

 Ce règlement entrera en application le 25 mai 2018 avec des sanctions, puisqu’il pourra être réclamé jusqu’à 4% du chiffre d’affaires d’une entreprise en cas de non-conformité. 

Que dit la directive :

Extraits et informations complémentaires sur le site de la CNIL : http://bit.ly/1YwJYN2

Protection de la donnée

Les responsables de traitements de données devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut.

Consentement

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

Droit à l’oubli et portabilité

Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme réutilisable. Il s’agit ici de redonner aux personnes la maîtrise de leurs données.

Violation de données

La loi exigera la notification de toutes violations des données personnelles dans les 72 heures à l’autorité compétente, en France la CNIL : www.cnil.fr. 

Désignation d’un DPO

La désignation d’un délégué à la protection des données (Data Protection Officer). C’est le point de contact de l’autorité. Il a mandat pour « être consulté en complément ou à la place du responsable de traitement sur toutes les questions relatives aux traitements.

Changement pour les entreprises

Des sanctions puisqu’il pourra être réclamé jusqu’à 4% du chiffre d’affaires d’une entreprise en cas de non-conformité.

Pourquoi les entreprises ne sont-elles pas prêtes, notamment les PME et association

« Selon la CNIL, moins d’un tiers des entreprises se sentent prêtes à se conformer, 97 % n’ont pas de plan d’action, 10 % considèrent qu’elles seront parfaitement prêtes »

Les entreprises qui ont mis en œuvre où se conforme déjà à la norme ISO 27000 n’auront pas de grandes difficultés pour se mettre en conformité. On retrouve dans la norme ISO 27000 les exigences de la directive GDPR notamment avec les points de l’ISO 27000 : A9 | A13 | A16 | A18 (ISO 27001).

De nombreuses entreprises n’ont pas la maîtrise de leurs données personnelles et plus généralement l’ensemble des données de l’entreprise (messagerie, fichier, bases de données, etc.). :

  • Qui a accès ?
  • Comment s’effectue le partage de la donnée ?
  • Alerte en cas de problème ?

Très peu d’entreprises sont en mesure d’apporter une réponse satisfaisante et se mettre en conformité. La maîtrise de la croissance et l’appartenance des données ont souvent été banalisées dans les entreprises.

L’enjeu d’information et d’accompagnement est essentiel.

Comment se préparer

La première phase est de réaliser une étude sur les données de l’entreprise, ce qui permettra de mettre en évidence les points à corriger pour se mettre en conformité.

Type de questions auxquelles devront répondre les entreprises :

  • Définir les données de l’entreprise : Fichiers bureautiques, messagerie, bases de données …
  • Identifier le type de données personnel que possède l’entreprise
  • Comment est organisé le stockage des données
  • Les données sont-elles sécurisées ? Qui a accès à la donnée ? (Prestataires, utilisateurs, etc.)
  • Archivage et sauvegarde de la donnée
  • Type de données : Sont-elles uniquement celles de l’entreprise

Le compte-rendu de cette phase doit permettre à l’entreprise de définir un schéma directeur et un plan d’action pour répondre aux problématiques et engager avec méthodologie à court terme et à moyen terme sa mise en conformité.

L’enjeu d’information et d’accompagnement est essentiel pour réussir la mise en conformité de l’entreprise.