L’heure tourne, et il ne reste plus beaucoup de temps avant que le nouveau Règlement relatif à la protection des données (GDPR) de l’UE entre en vigueur le 25 mai 2018. « Mais plutôt que de paniquer, il s’agit de prendre les mesures nécessaires, et de vous assurer que vous faites les choses comme il convient. Cela vous permettra d’éviter de vous exposer à la fois à des sanctions et à la dégradation de votre image de marque, même si votre conformité n’est pas totale le 25 mai prochain, » explique Daniel Hjort, responsable des solutions Smart ID chez Nexus Group, société spécialisée dans les identités et la sécurité.
La perspective du GDPR rend beaucoup de responsables nerveux, voire anxieux.
Hjort : « Et cela est compréhensible : le GDPR est clairement redoutable. De plus, c’est un règlement très étendu, constitué de 99 articles, détaillant les droits des individus ainsi que les obligations des organisations. »
L’objectif de cette réglementation est de permettre aux citoyens européens de disposer d’un droit de regard sur leurs données personnelles que les organisations collectent, traitent et stockent.
Hjort : « Pour s’assurer de la conformité des organisations au règlement, des sanctions relativement sévères sont prévues. Mais ce n’est pas ce qui inquiète le plus les décideurs, dans la mesure où les autorités ne seront sans doute pas prêtes à mener des inspections dès le jour J. Le plus gros risque, à ce moment-là, sera la dégradation de l’image de marque de leur organisation. Dès lors que le GDPR entrera en application, les citoyens et les médias pourront en effet attaquer les organisations fautives. »
Le guide de la sécurité des responsables IT – Anticiper les problèmes liés à la sécurité
Pour faire face à cette situation, vous devez, avant le 25 mai prochain, vous concentrer sur les points suivants :
1. Assurez-vous de votre conformité aux règlementations existantes, relatives à la protection des données personnelles.
Hjort : « Le GDPR s’appuie sur la législation existante, dont il étend la portée. Et contrairement à bien des législations locales relativement inoffensives, le GDPR est très clair quant aux risques que vous prenez à l’ignorez. »
2. Déterminez quelles données sont concernées par le GDPR, et où et comment celles-ci sont stockées.
Hjort : « Les données concernées peuvent être de différente nature : noms, adresses électroniques, coordonnées bancaires, adresses IP, jusqu’aux messages sur des sites de réseaux sociaux. N’oubliez aucun de vos systèmes : vous stockez sans doute des informations personnelles dans plus d’endroits que vous ne le pensiez initialement. Et n’oubliez pas que les données relatives à vos propres employés entrent fréquemment dans le champ du GDPR. »
3. Classifiez les données concernées.
4. Assurez-vous de contrôler les accès à ces données.
Hjort : « Il est essentiel d’imposer à vos employés d’utiliser l’authentification à deux facteurs pour accéder aux données concernées et les traiter. »
5. Décidez de la façon dont vous obtiendrez le consentement des citoyens européens pour stocker leurs données personnelles.
Hjort : « Et n’oubliez pas la nécessité d’obtenir le consentement parental pour les données relatives aux personnes mineures. »
6. Implémentez un système permettant de contrôler l’identité des personnes qui vous adressent des demandes concernant leurs données personnelles.
Hjort : « Le GDRP vous oblige à permettre à tout citoyen européen d’accéder aux informations dont vous disposez le concernant, à lui communiquer ces informations, et même à les supprimer à sa demande. Mettre en place des procédures de login via une authentification à deux facteurs, à des portails dédiés aux clients et aux partenaires, simplifie la gestion des demandes. Si vous recevez simplement ces demandes par e-mail, vous n’avez aucun moyen de vérifier si la personne est bien celle qu’elle affirme être. »
7. Élaborez des procédures de prise en charge des demandes de communication ou de suppression des données.
Hjort : « Vous pouvez être mis à l’épreuve rapidement, il est donc recommandé de vous y préparer. Si des journalistes n’obtiennent pas leurs données dans les délais impartis, ils risquent de vous faire de la mauvaise publicité. Et s’ils ne les ont toujours pas obtenues trois semaines plus tard, cette publicité risque d’être très mauvaise. »
8. Préparez-vous à la collecte et à la communication des données demandées.
Hjort : « Dans quelles bases de données rechercherez-vous les informations ? Les communiquerez-vous sous forme d’archives compressées, de documents PDF ou autres ? »
9. Assurez-vous de pouvoir communiquer ces informations de façon confidentielle et sécurisée.
Hjort : « Il est à craindre que, dans l’urgence, des organisations communiquent des informations en clair par courrier électronique, afin que le demandeur les reçoivent dans les délais. Ce serait une énorme erreur ! Vous devez vous préparer à transférer ces données de façon sécurisée. »
10. Prévoyez des procédures qui vous permettront de gérer les fuites de données.
Hjort : « Vous aurez l’obligation d’alerter sans délai les autorités ainsi que les personnes concernées. »
11. Si votre organisation emploie plus de 250 personnes, les exigences du GDPR seront encore plus fortes. Vous devrez notamment justifier le fait de collecter, stocker et traiter des informations personnelles.
Hjort : « Vous devrez également fournir une description des informations que vous détenez, ainsi que des mesures techniques de protection que vous avez mises en place. »
12. Renseignez-vous pour savoir si votre organisation se trouve ou non dans l’obligation de désigner une personne responsable de la protection des données.
Hjort : « Je ne peux pas garantir que vous serez en totale conformité en suivant ces recommandations – mais là n’est pas la question. Je pense pour ma part qu’aucune organisation ne sera en totale conformité le 25 mai prochain, compte tenu de l’ampleur et de l’étendue du GDPR. Mais les recommandations ci-dessus vous permettront sans doute à éviter de vous exposer à la fois à des sanctions et à la dégradation de votre image de marque, dans la mesure où vous aurez pris des mesures concrètes pour répondre à ces exigences. »
La solution Smart ID de Nexus est idéalement conçue pour vous permettre de maîtriser la plupart des aspects techniques requis dans le cadre du GDPR. Si vous souhaitez davantage d’informations, n’hésitez pas à prendre contact avec Daniel Hjort ou un autre représentant de Nexus.
Des informations complémentaires sont également disponibles ici :
- Le site officiel du GDPR
- Les recommandations de l’UE relatives à la protection des données (article 29)
- Le texte complet du GDPR au format PDF