Le RGPD

Qu’est-ce que le Règlement Général sur la Protection des Données ?

Le RGPD, acronyme de Règlement Général sur la Protection des Données (en anglais GDPR pour “General Data Protection Regulation”), définit un contexte juridique permettant d’encadrer le traitement des données personnelles sur tout le territoire de l’Union européenne.

Ce nouveau règlement européen répond notamment aux évolutions technologiques de nos sociétés, à savoir le développement du commerce en ligne et l’explosion des réseaux sociaux et autres applications collectant nécessairement des données personnelles. En ce sens, le RGPD vient s’inscrire dans la continuité de la Loi française Informatique et Libertés de 1978, tout en permettant aux citoyens de mieux contrôler l’utilisation de leurs données personnelles.

Le Règlement Général sur la Protection des Données offre un seul et même cadre aux professionnels européens dont le siège est basé en Europe ou bien traitant des données personnelles de résidents européens, leur permettant de développer leurs activités numériques au sein d’un vaste marché commun : l’UE. En fixant des règles claires concernant le traitement des données, le RGPD permet aux organismes publics et privés de prospérer en gagnant la confiance des utilisateurs, primordiale à l’heure du Big Data.

Le RGPD : quelles sont les obligations ?

Le Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018, implique avant tout un devoir d’information auprès des utilisateurs concernés par le traitement de leurs données personnelles. En tant que responsable du traitement de ces données, ou bien en tant que sous-traitant, il convient de prendre les mesures nécessaires pour garantir une utilisation respectueuse de ces données, permettant la protection de la vie privée des personnes concernées, mais aussi de leurs droits à cet égard.

Pour ce faire, quelques règles fondamentales s’imposent :

1 – Avant tout processus de traitement de données, posez-vous les bonnes questions, à savoir : est-ce réellement nécessaire dans le cadre de mon activité ? Quelles sont les données indispensables et celles qui ne le sont pas ? Est-ce bien pertinent de collecter ces données et en ai-je le droit ? Les personnes concernées ont-elles étaient correctement informées et ont-elles explicitement donné leur accord ?

2 – Le RGPD implique une totale transparence quant à l’utilisation des données collectées. Les personnes faisant l’objet d’une collecte de données doivent pouvoir vous faire confiance.

3 – Vous devez être en mesure de répondre, dans les meilleurs délais, aux demandes des utilisateurs concernés quant à leurs droits de consultation, de rectification, de transmission, mais également de suppression définitive de leurs données.

4 – Votre société doit, après avoir identifié les risques, être en mesure d’assurer un partage et une circulation encadrés des données personnelles, afin de leur assurer une protection optimale, tout au long du processus de traitement. Des mesures spécifiques doivent être prises si les données concernées sont dites sensibles (relatives à des opinions politiques, une origine raciale, une orientation sexuelle, etc).

5 – Gardez bien à l’esprit que les mesures de sécurité doivent être adaptées en fonction des risques qui pèsent sur les personnes concernées en cas d’exploitation non consentie de leurs données personnelles. Ces mesures de sécurité, informatiques comme physiques, doivent permettre la totale sécurité de ces données à risque.

Le RGPD pousse les entreprises à renforcer la sécurité de leur réseau informatique

Pour être en conformité avec le RGPD, les entreprises doivent revoir leurs systèmes de sécurité informatique. Il va s’agir de supprimer, d’améliorer ou de mettre en place de nouvelles stratégies de sécurité. Cela s’avère indispensable pour éviter les vols de données et la perte d’informations, qui pourront engendrer des conséquences néfastes sur le plan économique de l’entreprise, mais impactera également son image. D’autant plus que le non-respect du RGPD fait risquer de fortes sanctions. Le RGPD ne sera donc que favorable à une entreprise car elle va inciter cette dernière à renforcer davantage la sécurité de son réseau informatique. Après une évaluation des risques et de leurs sources, l’accès devra être verrouillé là où il le faudra.

Depuis l’entrée en vigueur du RGPD, garantir la protection des données et la vie privée est une obligation pour les entreprises. En plus de la sécurité technique du réseau informatique, des mesures de protection physiques doivent également être mises en place. Notamment un contrôle des accès aux installations et matériels réseaux ainsi qu’aux serveurs.

Retravailler la politique d’accès au réseau

Pour une protection des données optimale, conforme au RGPD, chaque entreprise devra bien gérer ses politiques de sécurité et les appliquer. Celles-ci doivent être faciles et rapides. Il faudra commencer par comprendre le fonctionnement des différents équipements liés au système d’information du réseau informatique pour pouvoir agir efficacement. L’accès doit être protégé et limité uniquement aux administrateurs. Un suivi régulier et minutieux doit être effectué par les administrateurs pour détecter à temps les éventuelles actions suspectes sur le réseau. Pour éviter que les personnes non autorisées à accéder à certaines informations n’y accèdent involontairement, une segmentation du réseau informatique est donc indispensable. La sécurité doit donc passer avant toute autre chose pour réduire les risques de pertes de données et enfreindre les règles du RGPD.

Le flux d’informations doit être suivi de près via des dispositifs automatisés qui pourront analyser et établir un bilan de traitement des données personnelles. Être attentif au fonctionnement de son réseau informatique va aider une entreprise à respecter le RGPD. Elle pourra donc instaurer des outils de surveillance et appliquer des mesures de sécurité pour la protection des données et du réseau lui-même.