Le 25 mai 2018, de nouvelles lois entreront en vigueur pour harmoniser la législation relative à la protection des données dans l'ensemble de l'Union Européenne. La Règlementation générale en matière de protection des données (General Data Protection Regulation - GDPR) s'applique à toutes les sociétés, quelle que soit leur taille (petites, moyennes et grandes entreprises), ainsi qu'aux administrations publiques.
Qu'est-ce que la GDPR ?
Il s'agit de la nouvelle loi fondamentale qui régit la manière dont les entreprises protègent les données personnelles de tous les ressortissants de l'UE. Elle a pour objectif principal de développer une approche harmonisée de la sécurité des données au sein de l'UE et remplacera la Directive actuelle 95/94/CE en matière de protection des données.
Quelles conséquences la règlementation GDPR aura-t-elle pour mon entreprise ?
Les entreprises devront faire preuve de davantage de rigueur dans les méthodes qu'elles utilisent pour stocker les informations personnelles et sensibles. Les infractions aux nouvelles législations auront des conséquences plus importantes et seront assorties d'amendes pouvant atteindre des montants élevés.
La transparence est nécessaire en matière de collecte des données auprès d'individus. Il est donc essentiel que les entreprises leur communiquent clairement comment ces données seront utilisées. Par ailleurs, les individus doivent être informés de leurs droits de refuser que votre entreprise stocke leurs données. La nouvelle directive mise en place relative au « droit à l'oubli » signifie qu'une personne peut vous demander de supprimer les données personnelles la concernant que vous détenez. La directive sur le « droit au refus » signifie qu'une personne peut refuser l'autorisation d'être profilée, y compris à des fins marketing.
Les entreprises doivent prendre des mesures de précaution concernant la sécurité des données physiques et électroniques qu'elles stockent. Les violations, quelle que soit leur nature, doivent être gérées rapidement et chaque entreprise a le devoir de se préparer à la mise en œuvre de la GDPR pour réévaluer ses procédures de sécurité actuelles.
Raisons pour lesquelles la GDPR est importante
Toute entreprise respectant déjà la Directive en matière de protection des données devra désormais s'assurer qu'elle est en conformité avec la GDPR et les changements qu'elle impose. Vous risquez d'être passible d'une amende si votre entreprise ne respecte pas les exigences et réglementations de la GDPR exposées ou s'il s'avère que vous les avez enfreintes.
La GDPR s'applique à tous les États membres de l'UE, qui n'auront plus à rédiger leurs propres lois en matière de protection des données. Certaines entreprises devront même employer un responsable de la protection des données pour superviser la mise en œuvre et le respect de la GDPR.
Avant l'entrée en vigueur des réglementations, vous devez dresser un bilan et réfléchir aux mesures que vous pouvez prendre pour vous y conformer.
Quels éléments dois-je prendre en compte en vue de l'entrée en vigueur de la GDPR ?
Un grand nombre des violations de données se produisant au sein des entreprises sont dues à des négligences humaines plutôt qu'à des cyberattaques malveillantes. C'est pourquoi il est crucial d'atténuer le plus possible les risques. Voici quelques éléments à prendre en compte :
- Élaborez un plan d'évaluation des risques
Pour respecter les règles de la GDPR, vous devez identifier les risques potentiels au sein de votre entreprise et remédier aux insuffisances de vos processus de sécurité actuels. N'oubliez pas de définir un calendrier en fonction des résultats de l'analyse de risques que vous avez réalisée. Cela vous permettra d'identifier les mesures à prendre et le moment pour les mettre en œuvre, mais aussi de prendre conscience de celles qui nécessiteront le plus de temps. Cela peut également être utile dans le cadre du processus de délégation des responsabilités, afin que chacun sache ce qu'il doit accomplir pour faciliter la conformité à la GDPR.
- Détruisez les exemplaires papier inutiles
Si vous utilisez de gros volumes de documentation papier ou devez imprimer un document confidentiel dont vous n'aurez pas besoin ultérieurement, un destructeur de documents est essentiel. Il est crucial de ne pas laisser d'informations sensibles à la vue de personnes non autorisées. Outre le fait de constituer une violation de la confidentialité si les informations concernent des employés ou des consommateurs spécifiques, la fuite d'informations confidentielles pourrait avoir des conséquences désastreuses pour votre entreprise.
Les destructeurs à coupe croisée ou en confettis découpent les documents en tout petits morceaux, ce qui les rend plus difficiles à reconstituer. Notez toutefois que le choix du destructeur de documents le mieux adapté à vos besoins dépendra de votre activité.
- Protégez vos documents de travail
La protection des données physiques est une problématique importante pour les entreprises qui cherchent à ce que leurs activités soient conformes à la GDPR. Si des exemplaires papier doivent être conservés à des fins de référence, vous devez prendre des précautions supplémentaires pour les stocker. Il peut s'avérer utile de disposer d'une armoire de classement ou d'un tiroir que l'on puisse verrouiller. En raison des avancées technologiques, il arrive parfois que l'importance de conserver des informations physiques en lieu sûr soit sous-estimée. L'achat d'un espace de stockage verrouillable n'a jamais été aussi important. Il représente un moyen concret de limiter l'accès à des documents confidentiels.
- Faites preuve de vigilance en matière de mots de passe
En matière de protection des données, les employés oublient parfois à quel point il peut être vital de disposer d'un mot de passe sécurisé auquel on a mûrement réfléchi. La définition de rappels automatiques s'affichant sur l'ordinateur au bout d'un certain nombre de jours peut inciter les employés à modifier régulièrement leur mot de passe. Vous pouvez également définir des paramètres afin de garantir que les mots de passe contiennent des lettres majuscules, des chiffres, voire des symboles, pour assurer un niveau de complexité adéquat et favoriser ainsi la protection des données.
- Évaluez les niveaux d'accès
Les employés de niveau débutant n'ont probablement pas besoin du même niveau d'accès que les membres de la direction. De même, les responsables de la sécurité de vos données disposeront d'un ensemble d'accès différent de celui des employés de bureau. D'autres risques potentiels peuvent se poser pour les entreprises qui font régulièrement appel à des travailleurs indépendants ou à des intérimaires, ce qui renforce la nécessité de mettre en place un accès personnalisé. En limitant les personnes autorisées et les données auxquelles elles peuvent accéder, vous pouvez véritablement réduire la violation de données et protéger les informations sensibles.
- Votre logiciel antivirus est-il suffisamment puissant ?
Il est essentiel de protéger votre entreprise contre les cybermenaces à l'aide d'un antivirus puissant. Les cyberattaques augmentent et la complexité des types de virus susceptibles d'infiltrer votre entreprise ne cesse de croître, vous devez donc faire preuve d'une attention particulière dans ce domaine. Posez-vous les questions suivantes : votre logiciel antivirus est-il à jour ? Est-il suffisant pour une entreprise de votre envergure ? Vous devez prendre le temps de réévaluer votre solution actuelle pour être certain qu'elle vous permettra d'être conforme à la règlementation GDPR.
- Faites le grand ménage dans votre bureau et vos fichiers informatiques
Prévoyez du temps pour vous assurer que l'ensemble des informations dont vous disposez sont correctes, à jour et toujours en vigueur. C'est l'une des exigences de la GDPR. Vous devez également respecter les droits d'autrui dans le cadre de la GDPR. Si une personne décide de ne pas vous confier ses données personnelles, c'est son droit et elle doit en être explicitement informée. Assurez-vous régulièrement de respecter les règles et rangez de temps à autre vos fichiers ou dossiers pour garder de l'ordre dans vos documents et identifier des incohérences ou des problèmes.
- Mettez en place un plan en cas de violations
Les entreprises devront réagir rapidement aux violations et les signaler à l'organisme réglementaire concerné dans les 72 heures. Vous devrez également expliquer comment vous avez géré cette violation et les mesures que vous avez prises pour atténuer ses effets. Disposer d'un plan prêt à être mis en œuvre peut permettre de gagner du temps et d'atténuer l'impact qu'une violation peut avoir sur votre entreprise et les personnes concernées.
Il est important que votre entreprise soit pleinement informée des changements en matière de protection des données et de la mise en œuvre de la règlementation GDPR. Chaque employé a sa part de responsabilité. Par conséquent, les informations et les plans que vous mettez en place doivent être diffusés dans l'ensemble de l'entreprise. Le compte à rebours a commencé. La réévaluation de vos mesures actuelles de sécurité des données constitue la première étape pour assurer la conformité à la règlementation GDPR.