Votre organisation est-elle en conformité avec le GDPR ?

Karel Dekyvere

02-03-2017

Le règlement européen sur la protection des données (General Data Protection Regulation ou GDPR) est d’ores et déjà l’un des sujets qui va faire le buzz en 2017. Ça sonne plutôt tendance, mais de quoi s’agit-il en fait ? Il vaut mieux le savoir, étant donné que cela vous concerne aussi. Il porte sur toutes les organisations qui utilisent des données de résidents de l’Union européenne. Le critère n’est pas d’être implanté en Europe, mais de travailler avec des données personnelles concernant des ressortissants de l’Union européenne. Nous avons listé pour vous quelques éléments importants de la nouvelle législation.

Vous vous souvenez des conséquences du passage à l’an 2000 ? Le problème, c’était que la plupart des systèmes informatiques n’étaient pas bien préparés au chiffre deux assorti de trois zéros. Et qu’ils l’ont malencontreusement interprété comme étant 1900. L’impact du GDPR est tout aussi important, mais avec une différence notable : si votre organisation n’y est pas encore préparée, vous risquez de grosses amendes. En effet, le but est d’assumer tous ensemble la responsabilité des données personnelles ayant trait à la vie privée. Toujours et partout, donc pas seulement quand il y a un risque de fuite de données.

Bien plus que quelques règles sur le papier

Le règlement GDPR porte sur la protection des données personnelles, en d’autres termes : sur la liberté. La liberté de gérer ses informations personnelles et la liberté d’être oublié. Certains trouvent cela exagéré et considèrent « l’ère du Big Data » comme une expression tendance de plus. Étudions donc cette question d’un peu plus près.

Tout le monde se souvient de son adolescence. Certains souvenirs sont fantastiques et méritent qu’on se les remémore, alors qu’on préférerait en oublier certains autres. Heureusement qu’on conserve la plupart de ces souvenirs dans un coin de sa pensée sans y être confrontés quotidiennement.

Il en va tout autrement pour les adolescents d’aujourd’hui. Ils partagent tous les événements de leur vie sur les réseaux sociaux. On y trouve de tout : des choses géniales et moins géniales sous forme de photos ou de paroles. Alors, l’image sérieuse qu’on veut donner de soi lors d’un entretien d’embauche peut ne pas du tout correspondre aux photos prises lors de fêtes trop arrosées et mises sur les réseaux sociaux. Ce contraste va aller en s’accentuant, dans la mesure où les gens partagent de plus en plus de choses en ligne. Le règlement GDPR aide les organisations à protéger ces informations personnelles. Cela signifie que le consommateur a lui-même accès à ses propres informations et que l’entreprise doit également garantir la sécurité et la protection des données.

Le compte à rebours a commencé…

Les organisations ont jusqu’au 25 mai 2018 pour se mettre en conformité avec le règlement GDPR. Vous pensez peut-être : « C’est encore loin. » Mais ce n’est pas si simple que ça. En tant qu’entreprise, vous devrez à cette date être plus qu’en conformité. Votre organisation devra être entièrement prête en ce qui concerne la gestion des informations. Cela signifie que vous devrez savoir quelles sont les informations sauvegardées par des personnes, sur quels appareils ces personnes travaillent, sur quels réseaux ces appareils sont connectés et bien plus encore. Il n’est pas possible de gérer ce flux d’informations avec rigueur si vous n’avez pas une vision et un contrôle à 100 % de chaque personne responsable de gérer des informations.

Encore un problème

Aussi bien les grandes entreprises que les petites ont les mêmes responsabilités et doivent être pareillement en conformité. Il s’agit surtout de la quantité et du type d’informations personnelles identifiables qui sont gérées par votre organisation. Y a-t-il par exemple une violation des données à caractère personnel ? Vous êtes alors tenus de la signaler sous 72 heures à une autorité de surveillance. Pour une grande organisation qui a un plan intégral de détection et de réaction, cela n’est pas un problème. Mais c’est justement pour les plus petites organisations que cela peut constituer un vrai défi et qu’un investissement conséquent est nécessaire.

En théorie et dans la pratique

Il n’est donc pas forcément suffisant d’être en conformité « sur le papier » et d’avoir consigné tous les processus dans un document. Le règlement décrit très clairement ce qui se passe si vous n’êtes pas bien préparé dans la pratique : vous courez le risque d’une amende pouvant aller jusqu’à 4 % de votre chiffre d’affaires annuel. Il ne suffit donc vraiment pas de gérer vos données de façon raisonnable. C’est la raison pour laquelle le règlement GDPR est un bon test. Ce n’est pas un sujet qui se délègue facilement au service juridique ou à l’équipe informatique. C’est de la responsabilité de toute l’entreprise. Le maillon faible, c’est bien souvent l’individu. Plus encore que d’être responsable, il faut être en mesure d’apporter une réponse appropriée. Qui ne réagit pas à temps risque une grosse amende. La réglementation est déjà très claire sur ce point.

Considérez votre expert d’un œil critique

Sur le marché, de très nombreux modèles de services sur le cloud sont disponibles afin d’aider les clients à se mettre en conformité avec le GDPR. Faites cependant attention à éviter les fournisseurs qui proposent des solutions « Black Box ». Dans le cas présent, il n’existe pas de solutions toutes faites adaptées à tous les cas.

À quoi devez-vous faire attention ?

Chaque solution appropriée comporte trois éléments : protection, détection et réaction. Par conséquent : vos données sont-elles suffisamment protégées, disposez-vous de services au sein de votre organisation pour détecter les fuites et les infractions et avez-vous en place un plan de réaction ? Si c’est le cas, vous êtes en conformité avec le GDPR.