Qu’est-ce que la RGPD ?
La RGPD (Règlementation Générale de Protection des Données) sera directement applicable dans tous les états de l’Union Européenne à partir du 25 mai prochain : comment s’y préparer et à quelles obligations les entreprises seront-elles soumises ? C’est pour répondre à ces questions qu’inovallée organisait le 11 janvier dernier un atelier d’information et d’échange co-animé par Optimex Data et Covateam.
Pourquoi la RGPD a-t-elle mise en place : parce que le nombre de données est exponentiel (on produisait en 2013 et en 10mn autant de données que 2 ans avant en 2 jours …), et que l’objectif de la loi est de redonner à chaque individu la propriété de ses données (jusqu’ici surtout exploitées par les Gafa …), en obligeant les entreprises à faire preuve de transparence quant aux données collectées et aux traitements faits sur elles, mais aussi à mettre en place des systèmes de protection efficaces.
Les éléments clés à retenir sur la RGPD :
- tout le monde est concerné, même si c’est à plus ou moins grande échelle selon
- la taille de l’entreprise,
- le secteur d’activité et donc la typologie des données (celles de santé ou les données bancaires étant plus critiques que la raison sociale et l’adresse mail générique),
- et la quantité de données traitées
- une donnée est considérée comme personnelle dès lors qu’elle permet une identification (nom, adresse mail, géolocalisation, empreinte digitale, photo, etc)
- les obligations liées à la loi sont :
- la transparence : chaque entreprise doit tenir un registre des traitements
- la désignation d’un DPO (Délégué à la Protection des Données), a minima en interne une personne référente capable de répondre aux questions de la CNIL, de préférence un référent extérieur, dont les missions seront d’informer / conseiller les équipes, de contrôler la conformité de les gestion des données de l’entreprise, de gérer les traitements à risque, et de dialoguer avec la CNIL
- la co-responsabilité sous-traitant / donneur d’ordre, ce qui implique pour le premier de prouver sa conformité et pour le second de vérifier celle de ses sous-traitants en matière de gestion des données
- la pseudonymisation : l’obligation de sécurisation des données passe, entre autres, par la pseudonymisation et le chiffrement (cryptage) des données
- la formation des collaborateurs aux bonnes pratiques et à la politique de sécurité mise en place
- l’audit des traitements : les entreprises ont pour obligation de cartographier leurs traitements, d’évaluer leur niveau de conformité et de mettre en place des actions correctives
- l’audit de gestion des accès et mots de passe
- la vigilance par rapport aux fournisseurs cloud (sur la localisation et la restitution des données)
- la sauvegarde et la suppression des données
- la mise en place de systèmes de protection contre les attaques extérieures
- la gestion des droits d’accès aux données dans l’entreprise et en dehors
- les mentions légales, qui doivent être beaucoup plus complète et notamment préciser à l’usager le mode de collecte de ses données (y compris si ces données ont été achetées à un tiers) et les traitements auxquels elles sont destinées;
Pour savoir où vous en êtes par rapport à votre conformité, un petit test est disponible en ligne sur le site de Covateam
Et pour aller plus loin, inovallée organise 2 jours de formation RGPD le 8 mars et le 15 mai.
