Incontestablement, l’explosion du volume de données est une réalité concrète qui impacte profondément le fonctionnement de l’entreprise. La tendance va s’accélérer ces prochaines années. Dans ce contexte, la bonne gouvernance des données s’impose comme une priorité désormais sanctuarisée dans le cadre du nouveau règlement européen : le Règlement Général sur la Protection des Données (RGPD).
Mais qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (en anglais : General Data Protection Regulation, GDPR) constitue le nouveau texte européen de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne. Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables à compter du 25 mai 2018 par toute entreprise traitant des données personnelles de citoyens européens. Ce règlement remplacera l’actuelle directive sur la protection des données personnelles adoptée en 1995 (article 94.1 du Règlement). Source CNIL.
De nouveaux enjeux à prendre en compte
De nos jours, les pertes et vols de données personnelles sont, à l’image de l’évolution du stockage, de plus en plus nombreux, ce qui motive le renforcement du règlement appuyé par des amendes dissuasives (jusqu’à 4 % du chiffre d’affaires annuel mondial). Le RGPD sanctuarise ainsi de nombreuses dispositions qui doivent être suivies, faute d’être sanctionnées. Il s’agit précisément du traitement des données et des interdictions d’utiliser certains éléments, par exemple les origines raciales, les opinions politiques, l’appartenance syndicale, etc. Il faut également en cas de violation des données à caractère personnel en informer la CNIL en moins de 72 heures et prendre des mesures appropriées.
Mettre en place un Référent Données dans l’entreprise et une démarche pour se conformer aux exigences du règlement européen
Le RGPD implique aussi de nommer un délégué à la protection des données : un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle. Ce personnage-clé occupe donc un rôle central et veille à la bonne application des règles définies par la loi. On notera que les sociétés peuvent désigner un délégué interne ou externe à leur structure. Ce référent devra ensuite mettre en œuvre une démarche globale visant à cartographier l’existant, prioriser les actions à mener pour se conformer aux obligations, gérer les risques, mettre en place des procédures internes garantissant la prise en compte de la protection des données à tout moment et enfin documenter les traitements des données personnelles.
Quelques points-clés de l’approche RGPD résumés
Identifier les données
Classifier et minimiser les données personnelles
Définir les droits et politiques d’accès
Contrôler, alerter et bloquer
Revoir, certifier et investiguer
Le RGPD va donc profondément faire évoluer la donne et amener les entreprises à revoir leur approche du traitement des données personnelles dont elles disposent. On notera également que faute de respecter les obligations du RGPD, les entreprises s’exposent à de lourdes sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Attention donc à positionner ce sujet-clé comme une priorité et à mettre en œuvre un dispositif adapté afin de respecter cette nouvelle directive qui sera applicable dans moins d’un an. Le temps presse pour se mettre en conformité !
Par Jérôme ETIENNE, responsable de la BU Sécurité et Réseau chez ITS Group.