Selon une inquiétante étude menée par IDC parue en juin, à un an de l’échéance, seulement 9 % des entreprises françaises se déclaraient conformes au règlement européen sur la protection des données personnelles. Plus grave, plus de quatre sociétés sur dix (43 %) prenaient seulement conscience de l’existence du RGPD. Les nouvelles règles qui entreront en vigueur le 25 mai 2018 ont été instaurées pour que les citoyens de l’UE contrôlent mieux la façon dont les entreprises et les organisations utilisent leurs données personnelles.
Les pénalités encourues par les entreprises en cas de non-respect des nouvelles règles pourront aller jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires total mondial. Si votre entreprise n’a encore rien mis en place pour se préparer au RGPD, il est temps de vous y mettre. Et pour nos voisins britanniques, si les entreprises comptaient sur le Brexit pour échapper à cette législation, elles font définitivement fausse route car l’entrée en vigueur du RGPD est prévue avant la sortie du Royaume-Uni de l’Union européenne. Toutes les sociétés doivent donc impérativement se préparer. Pas question de se reposer sur ses lauriers avec ce Règlement. Nous avons donc imaginé un programme en six étapes pour aider votre entreprise à se préparer en vue du RGPD.
Étape no 1 : Formez-vous
D’après ce même rapport, 14 % des petites entreprises avouaient ignorer à quoi correspond le RGPD. En fait, à peine 7 % des entreprises ayant répondu à l’enquête déclaraient comprendre parfaitement les règles du RGPD. Quelles que soient vos connaissances sur le sujet, une piqûre de rappel ne peut faire de mal et permettra de mieux appréhender le fonctionnement de ce règlement.
L’instauration du RGPD vise notamment à responsabiliser les entreprises en cas de violation et de perte de données. En clair, non seulement vous devez mettre en place des fonctions de sécurité, mais vous devez également bien appréhender le mode opératoire des hackers. Que vous soyez directeur d’un pôle métier ou responsable du département des systèmes d’information (DSI), c’est à vous de mener la transformation et d’en comprendre tous les risques.
Étape no 2 : Faites appel à une société spécialisée dans la cybersécurité
Si les règles concernant la législation à venir ne vous semblent pas limpides, faites appel à une entreprise ou un expert qui maîtrise le sujet. Choisissez une société de cybersécurité compétente et expérimentée qui propose un large éventail de prestations autour du RGPD. Elle sera en mesure d’auditer votre système actuel afin de déterminer votre degré de préparation. Vous pourrez également compter sur son aide pour la mise en œuvre des nouveaux éléments du système.
Étape no 3 : Menez une opération d’évangélisation en interne
Il est essentiel que le département informatique ne soit pas seul à tenter de démêler les fils. Tout le monde dans l’entreprise doit être sensibilisé aux nouvelles règles concernant le règlement sur la protection des données. En vous mettant en conformité avec ces règles, il vous faudra probablement modifier votre politique, mais le fait de tenir toute votre équipe informée vous permettra de procéder en bonne et due forme.
Étape no 4 : Partez de votre politique de sécurité informatique actuelle
Une fois que vous maîtrisez les tenants et les aboutissants du Règlement et ses implications pour votre entreprise, analysez la manière dont vous traitez actuellement les données ainsi que vos mesures de sécurité informatique. Examinez les types de données que vous recueillez auprès de vos clients, ainsi que l’endroit où vous les stockez. Avec le nouveau règlement RGPD, les clients sont en droit de demander aux entreprises d’effacer leurs données personnelles — ce que vous devez être en mesure de faire. Par conséquent, vous devrez peut-être entièrement revoir votre méthode de stockage des données.
Si vous avez une bonne idée de l’organisation de votre système actuel, vous saurez identifier les éléments conformes au Règlement, et ceux à modifier.
Étape no 5 : Modifiez votre politique de confidentialité
Pour de nombreuses entreprises, la politique de confidentialité — ou de protection de la vie privée — n’est qu’un document juridique à respecter, peu utile au quotidien. Aussi, aura-t-on facilement tendance à oublier de modifier cette politique de confidentialité. Actuellement, s’ils n’acceptent pas que leurs données soient stockées, les clients doivent expressément indiquer leur refus (opt-out) — ce que beaucoup ignorent. Avec le règlement RGPD, les clients devront consentir explicitement au stockage de leurs données (opt-in), ce qui devrait permettre une plus grande équité.
Étape no 6 : Préparez-vous aux évaluations
Cette législation étant prise très au sérieux, vous serez très probablement évalué afin de vérifier la conformité de vos politiques avec les règles. N’imaginez pas prouver votre innocence en invoquant votre ignorance des règles : tout manquement sera sanctionné. Dans la perspective du RGPD, mettez-vous en règle le plus tôt possible pour laisser le temps à toute l’entreprise de se familiariser avec le Règlement d’ici son entrée en vigueur.
Ces étapes aideront votre entreprise à se préparer aux changements juridiques, mais pas seulement. Les entreprises devraient pouvoir mieux se protéger et faire face aux violations de sécurité ; c’est là tout l’enjeu du RGPD. La mise en place de stratégies et de systèmes appropriés peut permettre à votre entreprise de rester en sécurité pendant de nombreuses années.
À propos de l’auteur
Rédacteur indépendant, Mike James est spécialisé dans les technologies et la cybersécurité. Il est établi à Brighton au Royaume-Uni. Ses articles sont publiés sur de nombreux grands sites et magazines presse. Mike collabore régulièrement sur des sujets relatifs au hacking éthique et aux tests de pénétration, notamment pour la mise en œuvre optimale de ces technologies dans les entreprises de tous types et de toute taille. Mike collabore fréquemment avec Redscan, un fournisseur leader de solutions de cybersécurité au Royaume-Uni, et d’autres entreprises. Lorsqu’il n’écrit pas sur des sujets « geek », il écrit également sur des recettes et programmes d’exercices.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.