Le règlement européen sur la protection des données personnelles (GDPR) entre en vigueur dans moins d’un an. Le compte à rebours pour les entreprises a commencé…

https://www.tanu.io/donnees-personnelles

Une entreprise sur 4 ignore où résident ses données sensibles

Ce règlement européen concerne les données personnelles clients et utilisateurs que collectent les entreprises. Il traite aussi bien de la nature des données personnelles collectées, que de la qualité et de la finalité du traitement qui en sera faite ou de la façon dont sont transférées et sauvegardées ces données.

En bref, les entreprises vont désormais devoir justifier que les données collectées sont strictement nécessaires à un traitement précis. Mais également que les données seront transférées de façon sécurisée (chiffrée), conservées pour la durée du traitement, maintenues à jour, détruites dans les règles…

C’est en fait un changement de philosophie qui s’opère. L’usager confie un bien qui lui est cher à une entreprise ou un organisme public : des informations sur sa vie privée. Il les confie pour recevoir un service ou un produit en retour. Ces données ont assurément de la valeur pour les entreprises, ce que le règlement reconnait, mais l’entreprise doit être en mesure d’assurer à l’utilisateur quelles en prendront soin. Or aujourd’hui, d’après une étude de l’éditeur de solution de sécurité Varonis, « une entreprise sur quatre ignore où résident ses données sensibles. » Plutôt inquiétant…

Comment se préparer au GDPR ?

La facture de la mise place des GDPR  n’est pas encourageante pour les organisations du privé comme du public.  Pour les entreprises du CAC 40, une étude calcule des coûts moyen de 30 millions, qui dépasseraient les 100 millions d’euros pour les banques et les assurances.  Mais à la longue la mise en conformité s’impose pour tous, car les pénalités  pourront s’élever à 4% du chiffre d’affaire mondial, ou à 20 million d’euros.

Alors, comment se préparer ?

  • Pour les grandes entreprises : un DPO (Data Privacy Officier) ou  Délégué aux données personnelles

Comme l’explique très bien cet article des Echos, le nouveau règlement peut venir entraver un certain nombre de projets déjà en cours, notamment sur la gestion et la gouvernance des données clients. Il ne s’agit pas de stopper tous ces projets, ni de monopoliser tout le personnel sur cette problématique, mais au contraire de sélectionner un référent dont la première tâche sera de recenser les différents processus ayant cours dans l’entreprise.

Ce référent, devra ensuite insuffler « l’esprit des RGDP » (sécurité, privacy by design, définition des traitements et qualité des transferts de données), afin que par petites touches et sur la période à venir, la mise en conformité se fasse progressivement. Cette méthode « agile » devrait permettre d’étaler les coûts autant que les efforts sur l’année à venir.

  • Pensez « privacy by design »

Vos prochains produits et services, qui sortiront  dans les mois à venir devront se prévaloir d’être en conformité avec les GDPR. Pas la peine d’attendre la dernière minute, et de risquer de lourdes amendes. Pensez dès maintenant chiffrement, traçabilité, confidentialité…

  • Parlez-en avec vos sous-traitants

Clarifiez la situation avec vos sous-traitants, notamment les fournisseurs de services d’infrastructure, qui seront également responsables devant ce nouveau règlement des différents traitements qu’ils feront des données personnelles que vous collecterez. C’est déjà le cas pour  les membres du CISPE, une coalition d’industriels du Cloud. Vos développeurs sauront également proposer des API permettant la portabilité des données tout en maintenant la sécurité des données personnelles.

  • Restez informé et informez autour de vous !

Plusieurs études affirment que de la moitié au moins des organisations privées et publiques ne sont pas au courant de cette réglementation à venir (étude SerdaLab, février 2017). Alors n’hésitez pas à en parler dans dans vos réseaux d’entreprises et à faire remonter cette information à votre direction.

De notre côté, nous offrons aux dirigeants d’entreprise un TANu de sensibilisation au GDPR avec une catégorie de questions dédiée, et des ressources qui donneront toutes les réponses officielles.

Voici un exemple de question TANu + GDPR : Si vous n’avez pas la réponse, il est temps de vous poser des questions 😉