Règlement Général européen sur la Protection des Données #RGPD

Le grand défi pour protéger les données confidentielles  : quelles conséquences pour les professionnels ? S’équiper d’un destructeur de documents va devenir une obligation…

Le RGPD : késakô ?

Le RGPD concerne la protection des données personnelles dans l’Union Européenne. Celui-ci définit un cadre strict à la collecte, au traitement et à la gestion des informations privées. Désormais, les établissements publics et les entreprises doivent intégrer la protection des données et des documents confidentiels dans la conception et l’organisation de leurs systèmes d’information sous peine de se voir infliger une lourde amende.

Décidé en 2015, le RGPD entrera en vigueur le 25/05/2018. Attention ! Un délai de 2 ans peut sembler long, mais les entreprises doivent se tenir prêtes dès à présent !

Cet article a pour ambition de vous informer sur cette nouvelle règlementation, sur l’importance de positionner la protection des données au centre des préoccupations de sécurité.

A l’heure où les volumes d’informations échangées et stockées croissent de façon exponentielle, il apparaît nécessaire et primordial de protéger ses informations sensibles ou de les détruire de manière sécurisée.

 

De prime abord, il est important de rappeler que :

Lorsque l’on parle de données personnelles, on inclut les informations concernant les :

  • Employés
  • Clients
  • Prospects
  • Partenaires
  • Fournisseurs

La règlementation s’applique aussi bien aux données numériques qu’aux documents papier.

 

Le RGPD en quelques mots

Ce nouveau règlement Européen à destination des entreprises harmonise, simplifie et renforce la protection des données sensibles. Il a pour but de renforcer et d’unifier la protection des données à caractère personnel des individus des 28 États Membres.

Celui-ci s’appliquera à tous les établissements publics ou privés, qui collectent traitent et stockent des documents confidentiels dont l’utilisation peut directement ou indirectement identifier une personne.

Enfin, ce dernier repose sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles. La notion d’identification a ici toute son importance : si une entreprise ne peut déterminer directement l’identité d’un individu, un tiers peut potentiellement le faire…

 

4 principales directives du RGPD

  1. Oblige les organisations à demander l’autorisation explicite de collecte d’informations privées auprès de l’utilisateur final. Il devra être possible de prouver que l’accord a bien été donné.
  2. Impose aux responsables des données de prendre en compte les exigences relatives à la protection des données personnelles et de mettre en œuvre toutes les règles techniques et d’organisation indispensable pour sécuriser ces informations, et ce dès la conception des produits, services ou systèmes exploitant des données à caractère personnel (Privacy by design).
  3. L’obligation de déclarer les piratages ou fuites de données dans les 72h qui suivent l’incident (aux autorités et personnes concernées).
  4. L’obligation de désigner un « Data Protection Officer » (DPO) ou déléguer à la protection des données en charge du contrôle de la conformité des traitements (pour les entreprises de plus de 250 salariés).

De plus, l’entreprise veillera à ce que les données secrètes soient en permanence – c’est-à-dire à tout moment et en tous lieux – sécurisées, afin de lutter contre les risques de :

  1. Perte
  2. Vol
  3. Divulgation

A qui s’adresse le RGPD ?

A tous les acteurs économiques, voire sociaux, à savoir les :

  • Entreprises
  • Associations
  • Administrations
  • Collectivités locales
  • Syndicats d’entreprises

 

 Quels sont les objectifs du RGPD ?

L’objectif général est de redonner aux citoyens le contrôle de leurs informations confidentielles, tout en unifiant les règlementations relatives à la protection de la vie privée dans l’Union Européenne.

L’entreprise ne pourra transférer en dehors de l’Union Européenne les documents confidentiels que selon un cadre strictement défini par le règlement et n’engager pour le traitement de ces données que des entreprises tierces offrant les garanties nécessaires pour répondre à ces obligations.

Les derniers ajouts et récentes modifications vont entraîner de profonds changements en matière de collecte de traitement des données personnelles et auront probablement un impact global sur le fonctionnement des entreprises.

Qui dit obligation dit sanctions ! Que risquent les entreprises en cas de non-respect de la réglementation ?

Attention ! Un délai de 2 ans peut sembler long, mais les entreprises doivent d’ores et déjà se tenir prêtes. Sans quoi, elles s’exposent à de lourdes conséquences financières qui pourront ternir leur réputation et leur image.

Des amendes ou sanctions sévères sont prévues en cas d’infraction :

L’entreprise encourt une amende pouvant  atteindre 4% du chiffre d’affaires annuel mondial limité à 20 millions d’euros, ce qui représente un coût colossal pour la plupart des organisations.

Les obligations du RGPD supposent qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement.

Au-delà du traitement administratif, ces différentes obligations imposent à l’entreprise d’adopter une approche résolument proactive en intégrant la sécurité au cœur de son traitement des données, sous peine de sanctions bien plus élevées.

L’entreprise doit donc se préparer à d’éventuelles attaques, pour lesquelles la question n’est plus de savoir « si » mais quand « quand » elles se produiront et être vigilante à toute négligence de la part des collaborateurs envers les documents confidentiels.

Cette gestion des risques étendue liée à la protection des données devra être partagée par et avec l’ensemble des membres de l’entreprise, à savoir : depuis les dirigeants en passant par les différents métiers et bien entendu jusqu’aux responsables de la sécurité des systèmes d’informations.

Le RGPD confère au responsable de la protection des données un rôle beaucoup plus important en raison de l’impact des amendes et sanctions potentielles en cas d’infractions.

Pour trouver des informations complémentaires, consultez le site de la Commission Européenne ici.

Afin  d’éviter une sanction, il faut se mettre en conformité avec les exigences du RGPD. Pour cela, il faut dans un premier temps détecter d’éventuels dysfonctionnements et mettre en place une démarche permettant d’intégrer l’ensemble des exigences du RGPD. Il s’avère nécessaire et indispensable de s’appuyer sur méthodologie industrielle prenant en compte différents points à la fois techniques et organisationnels.

 

Fuite d’informations confidentielles : attention n’oubliez pas le papier !

Non le papier n’est pas mort !

Protéger les données confidentielles informatiques est important, néanmoins il ne faut pas négliger les informations personnelles issues des documents papier, qui reste une source importante de risque de fuite d’informations. En effet, encore beaucoup de documents sont imprimés la protection des documents papier est donc impérative. Selon la structure et la taille de l’organisation, il est essentiel de s’équiper de destructeurs de documents.

Pour cela, 2 choix possibles :

  1. Soit un appareil pour petits bureaux ou bureaux, dans chaque bureau pour une destruction individuelle
  2. Soit un destructeur de documents départemental ou industriel, à placer à côté du photocopieur commun à l’ensemble des salariés, pour une
  3. destruction centralisée en vue des inspections règlementaires

Vous souhaitez un devis ? Des conseils ? Notre équipe KOBRA est à votre écoute ! Gratuitement et sans engagement !

> N’hésitez pas à nous contacter en remplissant notre formulaire spécial destructeur de documents !

Laisser un commentaire