Les données constituent, pour la majorité des entreprises, leur principale ressource. D'un point de vue commercial, c'est à partir des données que sont décidées les actions de marketing et de vente. Elles permettent aussi de garder le contact avec vos clients et de stocker des informations sur vos employés. Mais comme le veut le célèbre adage : à grands pouvoirs, grandes responsabilités.
Dans un monde numérique de plus en plus perfectionné, la protection des données s’est renouvelée et affûtée. Le renforcement des dispositions de cybersécurité des entreprises et le règlement RGPD permettent de conserver une longueur d’avance sur d’éventuelles cyberattaques. C’est à chaque entreprise de protéger les données personnelles stockées dans ses systèmes et de les utiliser de manière responsable.
Je n’ose imaginer ce qui se passerait si ce n’était pas le cas. Chaque violation de données de grande ampleur illustre la rapidité avec laquelle les systèmes et les protocoles vulnérables peuvent être piratés, avec des conséquences potentiellement catastrophiques (détournement de données, fraude et vol d’identité). Votre entreprise s’expose également à de lourdes sanctions, au préjudice en termes d’image, mais aussi au versement d’indemnités.
S’il fallait encore une preuve, prenons la récente et spectaculaire attaque sur le système de santé britannique (NHS), sur l’entreprise FedEx et plusieurs systèmes informatiques situés en Russie, à Taïwan et en Inde que le Telegraph qualifiait de plus grosse offensive au rançongiciel de l’histoire.
À quelle législation faut-il se conformer ?
Actuellement, les entreprises françaises doivent se conformer à la loi Informatique, fichiers et libertés de 1978. Cette loi sera remplacée par le règlement général sur la protection des données (RGPD), législation européenne qui entrera en vigueur le 25 mai 2018. Dans la mesure où celle-ci s’applique aux entreprises collectant ou traitant des données à caractère personnel sur les résidents de L’Union Européenne, cela signifie que 99% des entreprises européennes seront concernées.
Pour le règlement RGPD, le renforcement de la protection des données passe par la responsabilisation de chaque entreprise sur les questions de conformité et par le renforcement de l’arsenal répressif — avec des sanctions pouvant atteindre 20 millions d’euros en cas de non-respect de la réglementation européenne. En France, c’est la CNIL qui sera chargée de sa mise en œuvre.
Points clés du RGPD
Conformément au RGPD, les données personnelles se définissent comme tout ce qui peut être utilisé pour identifier un individu — à savoir les renseignements personnels tels que les noms, adresses e-mail, adresses IP, numéros de téléphone, coordonnées GPS, date de naissance et informations de santé.
Voici un résumé des exigences stipulées par le règlement RGPD :
- Collecte, stockage et utilisation appropriée des données pour un motif valable
Soit les données concernées se rattachent à un contrat client, soit le client doit avoir explicitement consenti au traitement de ses données.
- Utilisation légale des données à des fins spécifiques
Les données ne doivent être utilisées que de façon raisonnable et transparente. Une politique de protection des données doit être mise en place et facile d’accès pour le client.
- Conservation des données en quantités suffisantes, mais sans excès, pour la finalité visée
Les informations personnelles doivent être conservées en quantités nécessaires. Toute information non pertinente ou superflue devra être détruite.
- Vérification de l’exactitude des données personnelles et de leur réactualisation
Toutes les mesures nécessaires doivent être prises pour s’assurer que l’ensemble des informations personnelles conservées sont régulièrement triées, mises à jour ou supprimées.
- Destruction de toute donnée personnelle devenue inutile
Même si la période de conservation des données n’est soumise à aucune durée minimum ou maximum, toutes les mesures nécessaires doivent être prises pour détruire les données qui ont déjà rempli leur rôle.
- Protection des données personnelles stockées par votre entreprise
Les procédures et processus robustes, ainsi que les ressources techniques appropriées doivent être mises en place pour empêcher toute compromission des données ; vous devez également être prêt à réagir à toute violation de données.
- Respect renforcé des droits en matière de protection des données individuelles
En vertu du RPGD, les individus ont le droit à être informés, à accéder à leurs données, à rectifier, supprimer et limiter le traitement de leurs données. Ils ont également le droit de demander la portabilité de leurs données, de contester et d’exercer leurs droits relatifs à l’automatisation des prises de décision et du profilage. Les entreprises ont un mois pour répondre aux demandes des clients.
- Démonstration active de la conformité
Les mesures de protection des données doivent être intégrées aux processus d’entreprise à l’aide d’outils de transparence (politiques, formations et revues sur la protection des données).
Le RGPD devrait marquer un tournant inédit dans les législations de ces deux dernières décennies sur la protection des données. Les modes de stockage et de traitement des données personnelles utilisés par les entreprises seront désormais observés à la loupe. Les transgressions étant passibles de sanctions pouvant atteindre 4 % du chiffre d’affaires annuel mondial, toute entreprise qui prend le parti d’ignorer le RGPD le fait à ses risques et périls.
À propos de l’auteur
Rédacteur indépendant, Mike James est spécialisé dans les technologies et la cybersécurité. Il est établi à Brighton au Royaume-Uni. Ses articles sont publiés sur de nombreux grands sites et magazines presse. Mike collabore régulièrement sur des sujets relatifs au hacking éthique, et tests de pénétration, notamment pour la mise en œuvre optimale de ces technologies dans les entreprises de tous types et de toute taille. Mike collabore fréquemment avec Redscan, un fournisseur leader de solutions de cybersécurité au Royaume-Uni, et d’autres entreprises. Lorsqu’il n’écrit pas sur des sujets « geek », il écrit également sur des recettes et programmes d’exercices.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.