Règlement Général sur la Protection des Données (RGPD) de l’Union européenne

Cet article n’est qu’un résumé des textes pour mettre en évidence les exigences du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. Pour consulter les documents officiels reportez vous à la fin de cet article pour trouver les liens utiles.

La régulation Européenne GDPR (General Data Protection Regulation) ou RGPD en Français (Régulation Générale sur la Protection des Données) a été adoptée par le Parlement Européen et le Conseil de l’Union Européenne le 27 Avril 2016. Les entreprises, les associations, les établissements publics et les institutions Gouvernementales de tous les pays membres doivent se conformer à cette régulation à partir du 25 Mai 2018.

Les développements technologiques et la prolifération des données sur tous les nouveaux supports rendaient nécessaires ces nouvelles dispositions sur la protection des données.

Le constat est clair. Les appareils mobiles sont omniprésents partout et il n’est pas rare qu’une seule personne en possède deux ou trois. Les données professionnelles sensibles sortent aujourd’hui du périmètre de sécurité des réseaux informatiques traditionnels de l’entreprise. Les employés s’envoient des documents par courriel, utilisent leurs smartphones et tablettes personnelles pour accéder à leurs données professionnelles et stockent leurs données dans le Cloud.

A partir du 25 mai 2018, chaque citoyen européen aura la possibilité d’imposer l’application du RGPD, dès que ses données sont collectées et traitées. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc,  tous seront concernés dès lors que des traitements de données à caractère personnel sont effectués. 

Avec ce règlement, on assiste à un allègement considérable des obligations en matière de formalités préalables, puisque le régime déclaratif est totalement supprimé, pour entrer dans l’ère de la gouvernance des données personnelles, ce qui entraîne une documentation continue des actions menées sur les données, pour être en capacité de piloter et de démontrer la conformité.

Données concernées :

Les données personnelles correspondent à toutes les informations qui, directement ou indirectement, permettent d’identifier un individu. Il peut s’agir de données privées, professionnelles ou publiques. Il peut s’agir d’un nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages publiés sur des réseaux sociaux, d’informations médicales ou de l’adresse IP de son ordinateur.

L’Article 32 – Sécurité du traitement, aborde la sécurité du traitement de ces données :

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins

a) la pseudonymisation et le chiffrement des données à caractère personnel.

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Si une entreprise omet d’adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées, ne se conforme pas aux obligations énoncées au présent règlement ou si elle omet de notifier la violation de données à caractère personnel en temps utile ou de façon complète à l’autorité de contrôle peut lui infliger des sanctions administratives. A savoir :

Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 € ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

En fonction de l’activité et des traitements faits sur ces données, différentes actions sont nécessaires pour se conformer à ce règlement.

FIDESINFO vous propose les solutions pour :

Chiffrer les données stockées sur les différents supports (Disques durs internes et externes, clés USB, Cartes SD, etc., pour les rendre inutilisables en dehors du réseau.

Empêcher les fuites des données à travers différents canaux de sortie (Clés USB, Imprimantes, Courriels, Web, Cloud, etc.)

Contrôler et garder une trace des traitements faits sur les données au niveau des serveurs Windows.

Disposer d’un plan de reprise d’activité approprié en cas d’incident sur les systèmes traitant ces données.

Ce qui ressort de tout cela c’est que l’on va accentuer la sécurisation de tous les processus dès qu’il y a une donnée personnelle. Il doit y avoir un degré de sécurité physique et logique suffisant pour garantir une protection totale à celui qui a confié la donnée.

Consultez-nous pour un audit de sensibilisation aux failles de sécurité.

Liens utiles :

CNIL : Consultez le texte officiel

CNIL : Par où commercer

CNIL Formations : Formation en ligne