La RGPD
L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques.
Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose en préalable à la sécurité des données. Au même titre que vous protégez le nom de votre PME ou son logo, vitaux pour le fonctionnement de votre entreprise, les données personnelles doivent faire l’objet de mesures de sécurité particulières, informatiques et physiques. Protéger son patrimoine informationnel et protéger les personnes concernées des atteintes à leurs données, c’est donner à son entreprise des moyens de se développer sereinement. Et c’est pour cette raison que le RGPD existe. Afin de vous donner les outils et l’accompagnement nécessaire pour avancer dans cette mise en conformité.
Comprendre le RGPD peut s’avérer tortueux. Il encadre effectivement plusieurs principes et demandent différentes démarches aussi bien sur le plan technique, organisationnel, que juridique. Je vais donc vous expliquer ces grands principes à travers ces quatre interrogations: Quoi, Pourquoi, Qui, Quand ?
Quoi: Ça concerne quoi le RGPD ? C’est une question qui revient souvent de la part des chefs d’entreprise. Ça concerne donc n’importe quel traitement de données à partir du moment où vous collectez des données à caractère personnel (j’expliquerai en détails les différents types de DCP). Quand on parle de collecter, on parle aussi de traitement. Il existe deux grands type de traitement, le traitement non automatisé, que l’entreprise effectue volontairement, ex: Tenue d’un fichier de ses clients dans une base de données (CRM, gestion commerciale, ERP…) / Collecte de coordonnées de prospects via un questionnaire / Mise à jour d’un fichier de fournisseurs ou de sous-traitants / Données du personnel recueillies par le service RH. Et le traitement automatisé, effectué indirectement ou involontairement, ex: Messagerie électronique / Utilisation de badges d’accès / Accès par empreinte digitale / reconnaissance faciale.
Ces données collectées sont donc classées par type selon selon leur importance et leur confidentialité. Et c’est précisément ces données à caractère personnels qui sont soumis à cette réglementation européenne, à commencer par les coordonnées d’un client ou d’un employé par exemple. Si l’on devait classer ces DCP, les données relatives à l’état civil, les coordonnées, et la profession font partie des données courantes. En revanche, ces données peuvent être perçues comme sensibles à partir du moment ou l’on collecte des données de type: Photo, vidéo, numéro de sécurité sociale, données bancaire, relevé d’imposition, revenus, ou toutes autres situations financières. Mais également des données concernant une personne mineure. Il peut aussi s’agir de données indirectes permettant d’identifier la personnes par croisement de données, ou permettant d’identifier une personne directement, exemple: Données biométriques ou génétiques, extrait de casier judiciaire, dossier médical, orientation sexuelle, origine ethnique, confession religieuse. On parle alors de données sensibles, voire très sensibles. Il est donc important de se poser la question sur la légitimité de traiter ce type de données, et à quelle finalité ? Mais nous y reviendrons.
Pourquoi: Maintenant que vous mesurez l’importance de ses données, vous comprendrez que respecter la RGPD présente différents avantages qui peuvent clairement apporter de la crédibilité à votre entreprise. Voici donc ces principaux avantages:
- Renforcer la confiance
- Améliorer votre efficacité commerciale
- Mieux gérer votre entreprise
- Améliorer la sécurité des données de votre entreprise
- Rassurer vos clients et ainsi développer votre activité
- Créer de nouveaux services
A l’inverse, si vous n’effectuez aucune démarche de mise en conformité avec la RGPD, et que votre entreprise n’est pas sensibilisée à la sécurité des données collectées (particulièrement si ces données sont sensibles) vous risqueriez d’être confronté à de nombreux préjudices. A commencer par le risque d’une cyberattaque, puis une violation de données, en enfin une lourde sanction de la CNIL (4% du chiffre d’affaires annuel mondial ou 20 millions d’euro). D’où l’importance d’établir un plan d’action technique, juridique, et organisationnel. Je vais donc expliquer les grands principes du RGPD, et les démarches à prévoir pour se rapprocher de la mise en conformité.
Pour faire un peu de théorie, il existe trois grands principes d’application pour se mettre en conformité:
- Accountability = Responsabilité de l’entreprise
- Privacy by design = Optimiser et mettre à jour les technologies de traitement
- Security by default = Garantie de sécurité maximal du traitement
Pour concrétiser ces grands principes et mettre en place un plan d’action efficace, quatre étapes fondamentales sont nécessaires.
- La première et de constituer un registre de traitement. En termes claires, il s’agit d’inventorier les données collectées afin d’avoir une traçabilité de ces traitements, notamment s’ils sont nombreux, recueillis pour différentes finalités, et par différents supports ou services. On parle alors de cartographie de traitement.
- Viens ensuite le tri de ces données collectées. En effet, il s’agit de « réviser » régulièrement ces données afin de vérifier si elles sont toujours utiles à l’entreprise, si elle a toujours le droit de les conserver, ou si elle n’a pas dépassé le délai légal de conservation. Et enfin, l’entreprise doit savoir si les données collectées sont elles toujours légitimes à la finalité désirée. Si le registre de traitement à bien été constitué, la révision de ces données devrait être rapide et simple.
- Troisième étape, il s’agit de bien respecter le droit des personnes qui vous confient ces données. A commencer par la demande de consentement (via un formulaire papier ou en ligne), et l’obligation d’informer la personne de la nature et de la finalité du traitement. Par ailleurs, toutes personnes vous confiant ces données personnelles doit bénéficier d’un droit à la portabilité, c’est à dire qu’elles ont la possibilité de vérifier, corriger, supprimer ou récupérer ces données à tout moment, sans qu’aucune obstruction ne soit faite, et ce par simple demande orale, par mail, ou par courrier.
- Maintenant que ces démarches juridiques et organisationnelles sont achevées. Il est temps de garantir la sécurité de ces informations à travers différents moyens techniques faisant partie de la sécurité informatique. Il convient d’aborder la sécurité informatique avec pertinence et considération, particulièrement si ces données transitent par la web, ou si elle sont stockées dans un datacenter (ex: cloud). Quand on constate le nombre de cyberattaques qui entrainent une violation de données à caractère personnelle, il s’agit d’être prudent. Et ça commence par la création d’une charte informatique impliquant quelques gestes à adopter par le personnel de l’entreprise. Chaque charte informatique peut être établie par le DPO (Data Protection Officer) conjointement au DSI, (directeur des systèmes d’information), en fonction de l’environnement et des spécificités de l’entreprise. Mais il existe tout de même quelques généralités primordiales, à savoir:
-Le verrouillage systématique de la session lors de la vacation du poste de travail.
-Une seule session par utilisateur.
-Les droits d’accès appropriés pour chaque session utilisateur, et en accord avec le DSI.
-Connexion obligatoire à la session utilisateur par l’utilisation d’un mot de passe complexe, renouvelé régulièrement (tous les 180 jours).
-Pas de mot de passe sur papier ou bloc-note.
-Garantir la confidentialité de ces informations de connexion.
Mais l’obligation de sécurité ne s’arrête pas là. Il faudra ensuite garantir l’intégrité des données recueillies et stockées via différentes solutions de sécurité dont voici la liste non exhaustive:
-Antivirus professionnel de type Endpoint
-Messagerie collaborative sécurisée
Voilà un bref résumé des grands fondements de la RGPD. Il ne reflète pas tous les détails et toutes les mises en application, variables selon l’entreprise. Mais vous pouvez en apprendre d’avantage depuis le site de la CNIL. Bien entendu, je suis à votre disposition si vous avez des questions complémentaires. Vous pouvez aussi me contacter si vous souhaitez que j’effectue un audit de sécurité (offert).
Guillaume Reichmann.
