Les entreprises ont un peu plus d’un an pour se mettre en conformité avec la loi sur la protection des données (RGPD). Voici les 3 actions à initier dès aujourd’hui.
Pour améliorer la sécurité des données des citoyens, un nouveau règlement européen prévoit des mesures comme le droit à l’oubli, la désignation d’un délégué à la protection des données ou le recensement des différents registres en place. Autant de points à prendre en compte pour toutes les entreprises amenées à traiter des données personnelles.
Cette nouvelle législation européenne sera effective en mai 2018 et va remplacer la précédente datant de 1995, autant dire la préhistoire en matière de réseaux.
En France, elle va ainsi se substituer à la loi Informatiques et Libertés, avec comme objectif d’améliorer la sécurité et renforcer la confiance des citoyens dans le numérique. Les implications sont nombreuses pour les PME qui collectent des données par le biais d’internet (données bancaires, réseaux sociaux, services commerciaux, registre de clients, etc.), et qui devront garantir le droit à la vie privée.
Instaurer le droit à l’oubli
Comment ? Tout d’abord en imposant ce « droit à l’oubli » à tous ses partenaires. Car si une personne demande à l’entreprise d’effacer ses données, elle devra le faire, mais également « envoyer la demande à toute autre partie qui duplique les données collectées » souligne l’article 17 du texte.
Prévoir une collecte transparente
La collecte et le traitement des données devront aussi s’effectuer avec un consentement « clair et précis » des individus, c’est-à-dire un consentement actif. Et les politiques de vie privée ne pourront plus être écrites en tout petits caractères. Pour prendre en compte toutes ces modifications sur la protection de la vie privée, le texte préconise le « privacy by design », c’est-à-dire la conception en amont de fonctionnalités et produits qui collectent et traitent le moins possible de données à caractère personnel.
Nommer un délégué à la protection des données
Au sein des entreprises, des changements importants sont attendus, avec l’établissement d’audits de sécurisation et le recensement des différents fichiers de données existants. Autant de procédures qui pourront être consultées en cas de contrôles. Un délégué à la protection des données devra aussi être nommé dans les sociétés « gérant des quantités importantes de données sensibles ou surveillant le comportement de nombreux consommateurs ». Mais pas de panique : les PME dont l’activité principale n’est pas le traitement de données ne seront pas concernées. Et le règlement comporte une dérogation pour les structures de moins de 250 employés en ce qui concerne la tenue de registres.
En cas de piratage, il deviendra obligatoire d’informer sans délai la CNIL. Et si ces règles ne sont pas respectées, des amendes dissuasives atteignant jusqu’à 4% du chiffre d’affaires pourront être appliquées. Selon une étude réalisée par Trend Micro en mai 2016, 31% des DSI français « ignorent toujours l’existence de cette nouvelle réglementation », et « 1 décideur sur 10 pense que cette réforme ne s’applique pas à son organisation ». Heureusement, il reste encore un peu plus d’un an pour se mettre en conformité si nécessaire.