La révolution RGPD !

Digiwin, notre agence digitale, fait germer les idées et les applis mobiles !
23 janvier 2018
TRSb, la certification ISO 27001 en poche !
2 février 2018

Introduction 

L’accélération mondiale des échanges, la multiplication constante des données personnelles et la valorisation de l’information appellent à un durcissement de la législation européenne avec pour l’objectif principal de protéger la vie privée des citoyens. Adopté définitivement le 14 avril 2016, après 4 années de réflexions et de négociations législatives, le nouveau règlement européen sur la protection des données (RGPD ou GDPR – General Data Protection Regulation), entrera en vigueur le 25 mai 2018. Il vient donc renforcer les directives datant de 1995 et créer un fondement commun aux 28 états membres de l’UE concernant la protection de ces données.

En effet, depuis plus de vingt ans, les entreprises ont dû se conformer à différentes directives et réglementations en matière de protection des données personnelles. L’union Européenne a été depuis longtemps à l’avant-garde du mouvement de protection des droits des individus en ce qui concerne les données à caractère personnel. Le Règlement général sur la protection des données, qui reprend l’ensemble des législations existantes de la Commission européenne en la matière, a toutefois pour but de renforcer et d’harmoniser ces différentes réglementations pour les citoyens européens ainsi que pour les entreprises concernées.

Le RGPD s’applique à tous les établissements publics ou privés, qui collectent traitent et stockent des documents confidentiels dont l’utilisation peut directement ou indirectement identifier une personne. De même, en matière d’e-marketing, les données comportementales collectées sur Internet, si elles sont associées à une identité, deviennent des données à caractère personnel.

Sur le plan mondial, cette réglementation contenant 100 pages, 99 articles de loi à respecter, est probablement l’avancée la plus conséquente jamais réalisée concernant les données à caractère personnel des citoyens !

Ce nouveau règlement européen sur la protection des données personnelles est autant une source d’inquiétude que vecteur d’opportunités. Avec moins de 4 mois avant son entrée en vigueur, le temps presse, c’est pourquoi il est primordial d’en comprendre les enjeux.

 

La protection de la donnée avant tout

En effet, depuis l’explosion d’Internet, au vu des énormes quantités de données collectées quotidiennement, les préoccupations concernant la vie privée, la confidentialité des données et la cybersécurité se sont largement accentuées et renforcées.

Jusqu’à présent, les sanctions n’étaient guère dissuasives pour les entreprises multinationales, il existait des déséquilibres et des contradictions entre les états membres, et surtout la directive de 1995 ne faisait pas peser de responsabilité sur le sous-traitant.

Il s’agit alors d’un double enjeu sociétal et économique, la donnée étant une immense source de valeur uniquement si elle est dûment exploitée. Le défi est donc aussi bien de développer la confiance et de protéger les personnes, tout en préservant l’activité économique de l’entreprise.

 

La réforme de la protection des données poursuit donc trois objectifs principaux

– Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures

– Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants)

– Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux

 

La mise en œuvre du RGPD et ses conséquences

En ce qui concerne les répercussions du règlement RGPD, celles-ci seront conséquentes : tout défaut de conformité pourrait se traduire par des pénalités importantes pouvant atteindre 2% du chiffre d’affaires pour les petites entreprises tandis que les grandes entreprises peuvent se voir infliger une amende de 4 % du chiffre d’affaires mondial annuel.

A cela s’ajoute les dommages non-négligeables sur la réputation de l’entreprise en question. En effet, l’entreprise victime d’une intrusion informatique doit en informer la CNIL sous 48 heures. Si l’enquête révèle un manquement en matière de protection des données, en plus de sanctions financières, l’entreprise doit prévenir ses clients et médiatiser l’information auprès des consommateurs. D’où l’importance d’avoir une bonne cybersécurité (Difenso (lien site internet), accompagne notamment les entreprises sur ces sujets).

« Grâce à ce règlement général, avoir un niveau élevé et uniforme de protection des données à travers l’UE deviendra une réalité. Il s’agit d’une victoire pour le Parlement et d’un ‘oui’ européen fier aux droits très forts  des consommateurs et à la concurrence à l’ère numérique. Les citoyens pourront décider eux-mêmes des informations personnelles qu’ils souhaitent partager », a déclaré Jan Philippe ALBRECHT, en charge de la législation au Parlement.

A ce sujet, les entreprises implantées hors de l’Union Européenne n’échappent pas à l’application de cette règlementation européenne car elles sont soumises à ce règlement à partir du moment où elles disposent d’un établissement implanté en Union européenne (filiale ou siège…) mais aussi à partir du moment où elles adressent leurs offres de biens et de services à des citoyens européens. En outre, les entreprises utilisant des méthodes de suivi et d’analyse du comportement des consommateurs européens (profilage, étude du comportement des consommateurs…) sont également dans l’obligation de respecter le RGPD.

Le RGPD prévoit des obligations très précises et d’autres plus sujettes à interprétation : minimiser les données personnelles collectées, s’assurer du fondement juridique du traitement, traitement des données sensibles, mentions légales, droit à la probabilité des données, sécurité de celles-ci, registre de conformité, mais aussi de violations de données personnelles, nomination d’un DPO (Data Privacy Officer), mise en place d’une PIA « Privacy Impact Assessment », en font partie. Ce qui souligne distinctement l’importance d’un partenaire qui favorise l’accompagnement au changement.

Eric Stefanello, Président de Difenso et expert en protection de la donnée et cybersécurité en témoigne : lire son interview 

Quel impact pour les applications ?

Plusieurs process devront donc être mis en œuvre, à savoir purger l’ensemble des données qui ne sont pas strictement nécessaires au sein des applications existantes et s’assurer de limiter les données collectées à l’avenir. Attention donc à bien veiller à mettre ces principes en place pour les traitements tels que : site Internet, contrôle d’accès aux locaux, liste de partenaires, de clients, de prospects, facturation, gestion des sauvegardes etc.

La capacité de fournir des applications qui sont à la fois sécurisées de par leur conception et qui respectent la confidentialité des données renforcent une nouvelle fois l’intérêt des équipes DevOps (voir ici notre article DevOps). Grâce aux formations adéquates liées aux bons outils, ces équipes seront à même de renforcer l’authentification, de chiffrer les données, détecter les vulnérabilités, et évidemment empêcher les différentes formes d’attaques.

 

Ce qu’en pense TRSb ?

Nous savons au sein de TRSb, que la mise en conformité RGPD entraine son lot de complexité et va demander un travail  considérable d’adaptation et de mise en conformité.

Dans un premier temps, l’envergure des changements à mener oblige à identifier, à analyser et à mettre en conformité les processus informatisés (impliquant les traitements, les données et leurs usages) ou non informatisés. En conséquence, une représentation exhaustive des données collectées et utilisées par les différents services est indispensable.

Dans un second temps, il s’agit de faciliter l’application des droits aux personnes physiques, il est donc nécessaire d’élaborer des services dédiés (droits d’accès, droits de portabilité, droits à l’oubli, droit à la limitation du traitement…).

Enfin, la finalité est de mettre en place une gouvernance spécifique visant à appliquer les procédures, à piloter les actions et identifier les évolutions de ces données. Ces data doivent impérativement être mesurables et traçables pour répondre aux exigences de la GDPR.

En résumé, voici les 6 points clés qui doivent être suivi courant l’application du RGPD :

–              Désigner un pilote

–              Cartographier

–              Prioriser

–              Gérer les risques

–              Organiser

–              Documenter

 

Le RGPD, un enjeu stratégique pour les entreprises ?

Comme toute nouvelle règlementation, le RGPD peut paraître comme un ensemble de contraintes. Cependant, il est indispensable de souligner que la mise en conformité représente un enjeu stratégique pour chaque entreprise.

Du côté des entreprises comme des fournisseurs, garantir la vie privée des utilisateurs au travers de certifications peut être vu comme un atout concurrentiel. Une fuite de données peut avoir des conséquences qui vont bien au-delà des lourdes sanctions prévues par le règlement. De nouveaux modèles économiques devraient émerger autour de la « privacy », comme nous l’avons remarqué depuis quelques années avec pour exemple la RSE ou bien la protection de l’environnement.

Elle contribue à renforcer le capital confiance de la marque vis-à-vis de ses clients, prospects, salariés et aussi partenaires. C’est aussi l’occasion de renforcer la sécurité des données de l’entreprise qui constitue aujourd’hui un véritable patrimoine immatériel.

 

En résumé

La mise en œuvre du RGPD peut donc se traduire par des approches très différentes selon les entreprises : devenir simplement conforme ou bien utiliser le RGPD comme un levier de transformation, générateur de ROI. Ayant donc conscience de l’impact de cette nouvelle réglementation et de ses tenants et aboutissants, TRSb accompagne les organisations dans cette démarche aux côtés de Difenso.

 

« Convaincus par la nécessité d’une telle technologie, TRSb choisi Difenso pour la protection des données car elle est la seule à répondre aux exigences techniques de la RGPD et parce qu’elle s’applique à tout type de donnée dans tout type d’environnement de façon ubiquitaire. » Philippe GUINCHARD, Président Directeur GénéraL