Recommandations pour vous préparer à la nouvelle réglementation européenne sur la protection des données (GDPR)

Le 25 mai 2018, la nouvelle réglementation européenne sur la protection des données (GDPR) entrera en application. « Les organisations doivent se poser un certain nombre de questions – et s’assurer de pouvoir y répondre. Le risque de pénalités pouvant aller jusqu’à 4% du chiffre d’affaires n’est pas à prendre à la légère, » explique Daniel Hjort, responsable du développement commercial chez Nexus Group, société spécialisée dans les identités et la sécurité.

Le GDPR s’applique à toute organisation gérant les données personnelles de citoyens européens.

« L’objectif de la nouvelle réglementation est de protéger la vie privée des personnes. Certaines législations facilitent également les choses pour les sociétés et les organisations, mais ce n’est malheureusement pas le cas du GDPR, » ajoute Hjort.

De plus, il n’est pas facile de saisir tout ce qu’implique réellement la réglementation, car le texte est long, complexe, et prévoit un certain nombre d’exceptions, selon Daniel Hjort.

« Il est temps pour les organisations de se familiariser avec cette législation et ses implications. La plupart de ces organisations parviendront à la conclusion que se conformer aux nouvelles exigences est plus compliqué que prévu. »

Voici, selon Hjort, les principaux aspects de la nouvelle réglementation :

  • Disponibilité

Tous les individus disposeront d’un droit d’accès à leurs données personnelles.

« Et il reviendra à l’organisation de s’assurer que les informations sont bien transmises aux bonnes personnes, » précise Hjort.

  • Traçabilité

Si votre organisation gère des données personnelles, elle devra être en mesure d’indiquer l’usage qui en a été fait.

Selon Hjort, « l’organisation devra également nommer les personnes qui ont eu accès à ces données ».

  • Consentement

L’organisation devra toujours recevoir l’approbation des personnes dont elle souhaite enregistrer les données.

  • Transparence

La façon dont sont utilisées les données personnelles devra être clairement explicitée par l’organisation.

  • Portabilité

Les personnes auront le droit d’exiger que les informations que vous avez enregistrées soient confiées à une tierce partie.

« L’objectif est de permettre aux individus de changer aisément de fournisseur. Cela signifie qu’une société aura l’opportunité de prendre des clients à un concurrent, tout en risquant d’en perdre au profit d’un autre, » explique Hjort.

  • Correction

Toute personne aura le droit d’exiger la correction d’informations erronées la concernant.

  • Suppression

Toute personne aura le droit d’exiger la suppression des données la concernant. Ce droit s’appliquera même si cette personne avait précédemment autorisé l’enregistrement de ses données personnelles.

« Et supprimer ces données ne suffira pas : il conviendra de s’assurer qu’aucune trace n’en sera conservée, » ajoute Hjort.

Questions que les organisations doivent se poser – et s’assurer de pouvoir y répondre :

  • Avons-nous connaissance des niveaux de compensation associés à la non-conformité ?
  • Quelles parties de l’organisation disposent du droit de collecte et d’utilisation des données personnelles ?
  • Sommes-nous en mesure de pouvoir informer les personnes concernées ainsi que l’autorité de supervision dans les 72 heures après la découverte d’une fuite de données ?
  • Comment s’assurer que nous ne collectons pas plus d’informations que nécessaire, et que nous ne les conservons pas plus longtemps que nécessaire ?
  • Comment s’assurer que les données collectées pour une raison précise ne seront pas, à terme, utilisées à d’autres fins ?
  • De quels moyens disposons-nous pour permettre aux individus d’accéder à leurs données personnelles lorsqu’elles le demandent ?
  • Disposons-nous des mesures de sécurité adéquates pour protéger les données personnelles que nous avons enregistrées ?
  • Protégeons-nous les données personnelles que nous transmettons par e-mail, et si non de quels moyens disposons-nous pour ce faire ?
  • Comment gérons-nous les demandes de transfert de données hors des frontières ?
  • Gérons-nous des données personnelles pour le compte d’autres organisations, et si oui, respectons-nous les obligations que cela implique ?
  • Sommes-nous en mesure de supprimer les données personnelles des individus à leur demande ?
  • Disposons-nous du budget nécessaire pour nous conformer à l’ensemble de ces nouvelles exigences ?
  • Avons-nous nommé/engagé une personne en charge de la protection des données, et prévu d’assurer sa formation ?

Il existe des solutions techniques susceptibles d’aider votre organisation à se conformer au GDPR.

Les conditions élémentaires requises pour une gestion sécurisée des données personnelles sont les mêmes que pour les autres formes de sécurisation : les identités approuvées. Si vous ne savez pas à qui ou à quoi vous avez affaire, vos mécanismes de protection, si sophistiqués soient-ils, ne servent à peu près à rien.

« Par conséquent, la première étape consiste à disposer d’une solution vous permettant de contrôler efficacement l’identité de vos employés, clients, partenaires ou simples usagers, » explique Daniel Hjort.

Ensuite seulement vous serez en mesure de garantir que seules les personnes autorisées accèdent aux données personnelles.

Permettez à votre personnel, à vos clients ou aux usagers d’interagir avec votre organisation d’une façon sécurisée.

« La sécurisation des accès par identifiant et mot de passe n’est pas suffisante. Si vous disposez de la technologie adéquate pour sécuriser les connexions, vous pouvez laisser les personnes accéder elles-mêmes à leurs propres données, au lieu de les obliger à vous contacter pour que vous le leur permettiez. Vous pouvez même encore gagner du temps et réduire les coûts en proposant la signature numérique pour les demandes de suppression des données personnelles, » ajoute Hjort.

  • Communications chiffrées
  • Mise en place de la traçabilité

Vous devez être en mesure de rapporter toute modification des données personnelles, et de préciser  ce qui a été fait, par qui et à quel moment.

 

Published 24/2 2017

News and Blog