Nouveau règlement général européen sur la protection des données (RGPD)

Le nouveau règlement européen sur la protection des données (RGPD) a été définitivement adopté par le Parlement européen. Ses dispositions seront directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.

Ce règlement remplacera l’actuelle Directive sur la protection des données personnelles adoptée en 1995 (article 94.1 du Règlement). Cette nouvelle obligation va impacter votre infrastructure informatique.

RGPD

 

Pourquoi un nouveau règlement européen de plus ?


Les données personnelles sont considérées comme étant le nouveau pétrole du 21ème siècle et le prix du kilo de données ne cesse de croitre. Comme toute marchandise chère, facile à dérober, les données sont très convoitées, y compris par les pirates.

La cybercriminalité devient un fléau qui nous concerne tous.

Vos données personnelles sont détenues par de multiples organismes (entreprises, administrations …) et sont stockées dans leur système informatique. Malheureusement, de nombreuses entreprises n’ont pas encore pris conscience de la nécessité de protéger leur infrastructure.

Infographie cybercriminalité France 2016

Par conséquent, nous pouvons tous être victimes par la négligence des autres.

Le RGPD, c’est quoi et pour qui ?

Le RGPD est un règlement européen qui oblige les entreprises et les administrations à :

  • Recenser les logiciels, bases de données et fichiers traitant des données personnelles (clients, prospects, fournisseurs, fichier du personnel …)
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitant) en vue de protéger les données personnelles des tiers. Toutes les entreprises informatisées sont responsables de traitement. De plus, les sous-traitants (agence de communication, société informatique, hébergeur de données…) sont soumis à un règlement particulier.

Les sanctions

En cas de vol ou perte de données personnelles, lorsqu’il y a un manquement aux réglementations du RGPD, un professionnel risque :

  • Obligation d’informer par courrier la totalité des personnes physiques incluses dans vos bases de données dans les 72h,
  • Informer la CNIL,
  • Amendes encourues : 
    • 2 à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent
    • 10 à 20 millions d’euros pour les entreprises

Si vous souhaitez en savoir plus sur les différentes sanctions possibles, vous pouvez vous renseigner au prêt de la CNIL en cliquant sur ce lien.

Nos conseils : Comment se mettre en conformité ?

1 – Désigner un pilote (DPO)

Son rôle est d’être le chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne. Il doit également assurer le suivi de la mise en conformité et coopérer avec l’autorité de contrôle. Il est très important de sensibiliser tous les utilisateurs de votre système d’informations à la RGPD.

Cartographier

2 – Cartographier

Vous devez recenser de façon précise vos traitements de données personnelles (base de données, fichiers et logiciels associés) et élaborer un registre des traitements qui vous permet de faire le point (utilisateurs concernés, login et mot de passe …).
Il faut également effectuer un recensement des matériels hébergeant des données personnelles (serveurs, cloud, sauvegarde, ordinateur, portable, tablette, smartphone)

Lister les risques

3 – Gérer les risques

Il est fortement conseillé de faire une étude d’impact qui va permettre d’évaluer les risques. Cette étape permet également d’étudier les mesures envisagées pour protéger vos données. Il existe quatre types de risques à catégoriser :

  • Les « éléments à protéger » : minimiser les données, chiffrer ou anonymiser
  • Les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données…
  • Les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
  • Les « supports »: réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…
Organiser

4 – Organiser

Vous devez mettre en place des procédures internes qui garantissent la prise en compte de la protection des données personnelles à tout moment. Ces procédures devront être suivies dans le temps et respectées au quotidien. La mise en place d’une charte informatique annexée au règlement intérieur permet de guider les utilisateurs et les intervenants.

documenter

5 – Documenter

Afin de prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Ces documents peuvent se traduire par une charte informatique, un cahier de procédures, un inventaire informatique, un rapport firewall, un registre des entrées et sorties …

protéger

6 – Protéger

Vous devez mettre en place les moyens de vous protéger contre les failles de sécurité et la négligence de vos collaborateurs. Pour cela, un cryptage total des données sur les ordinateurs et serveurs semble être la solution la plus simple à gérer pour les TPE et PME. La sécurisation de vos appareils mobiles est de rigueur. Vous devez pouvoir configurer et réinitialiser vos appareils à distance en cas de perte ou de vol. Il est également conseillé de proscrire les appareils personnels dans le cadre professionnel. Les supports de stockages externes tels que les clés USB et disques durs doivent être équipés d’un système de chiffrement.

 

Afin de vous aider dans votre transition RGPD, nous mettons à votre disposition des documents type.

Documents RGPDJe souhaite un conseil personnalisé

Nos solutions

Software

Pour vous aider dans votre conformité au RGPD, nous sommes en cours de finalisation d’un logiciel pour vous aider à cartographier vos bases de données. Nous avons décidé de nous équiper d’un logiciel de supervision pour vous permettre de recenser en temps réel votre parc informatique, logiciels, actifs réseau et visualiser les failles et dysfonctionnements.

Hardware

La perte d’une clé USB ou d’un disque dur peut causer beaucoup de problèmes. Si un employé perd une clé USB, il expose l’entreprise à des amendes, des frais de récupération ainsi qu’une perte de crédibilité et de notoriété de l’entreprise. Lorsqu’une clé USB est perdue ou volée et que les données qu’elle contient sont chiffrées, alors il ne s’agit pas d’une violation de données et ne nécessite pas de déclaration.

Nous avons sélectionné pour vous différents produits sécurisés :

Clé USB avec code
Clé USB chiffrée avec digicode intégré (16 ou 64 Go)
Disque dur externe avec code
Disque dur externe sécurisé avec code et USB 3.0 (500 Go, 1 To ou 2 To)
Lecteur emprunte digital
Lecteur d’empreintes biométrique sécurisé

 

Informez moi

Partager sur