Une nouvelle réglementation qui change tout a été adoptée il y a quelques jours.
Spécialiste de sécurité informatique, Vincent Podlunsek, dirigeant d’Adamentis, apporte son éclairage sur le règlement général sur la protection des données (RGPD) entré en vigueur officiellement le 25 mai. Et ça change tout. Décryptage.
L’Indépendant. Qu’est-ce que est le RGPD ?
Vincent Podlunsek. C’est une réglementation européenne qui va toucher tout le monde que l’on soit utilisateur ou que l’on ait, dans no- tre activité professionnelle, à récolter des données via même un simple fichier client, ou des données sur les employés. Associations, multinationales, petites entreprises, artisans, commerçants… collectivités… tout le monde est touché.
L’Indépendant. Pourquoi cette réglementation ?
Vincent Podlunsek. Parce qu’il faut structurer les données face à l’explosion du volume qu’elles représentent. En 2020, il y en aura 57 fois plus qu’il n’y a de grains de sable sur la planète. Et surtout, il faut sécuriser ces données.
L’Indépendant. Qu’est-ce que cela implique ?
Vincent Podlunsek. Ce qui change tout, c’est la transparence. On doit savoir où sont nos données, comment elles sont collectées, qui y a accès, combien de temps elles sont gardées et surtout quelle est la finalité, à quoi servent-elles. En somme, il faut devenir transparent.
L’Indépendant. Concrètement, qu’est-ce qui change pour l’utilisateur ?
Vincent Podlunsek. Il doit valider le fait qu’une entreprise enregistre ses données. Ce qui change tout, c’est le consentement. Avant la date du 25 mai, on a tous reçu des dizaines voire des centaines de mails pour re-valider nos fiches d’inscription, nos abonnements (newsletter). Face à cet afflux, j’appellerais à la prudence. Il n’y a pas d’urgence pour l’utilisateur. Il est important de s’assurer de ce que l’on valide et faire attention, par exemple, à ce que les cases ne soient pas pré-cochées, certaines entreprises cherchant à forcer le consentement.
L’Indépendant. Pour les entreprises, quelles sont les obligations ?
Vincent Podlunsek. Il est important d’avoir déjà commencé. Elles doivent avoir désigné un DPO (Data protection officer, responsable de traitement des données internes ou externes). La politique de protection des données ou politique de confidentialité doit être à jour sur les sites internet. Pour tenir un plan de conformité, elles doivent tenir 3 registres : le registre de responsable de traitement, le registre sous-traitant (celui qui héberge une partie de leurs données ou les traite) et enfin un registre de notification des violations des données personnelles. De plus, il faudra aussi avoir une charte informatique pour ses employés, un contrat entre tous les sous-traitants avec lesquels on partage les données, sensibiliser ses employés sur la sécurité et la sensibilisation des données personnelles, informer les clients de l’utilisation de sous-traitants, donner la possibilité au client de modifier ses données, supprimer les données dont l’entreprise n’a plus besoin, demander le consentement pour le traitement, veille et modification accessible aux clients… Le registre de sous-traitant est le plus compliqué à réaliser. Il doit prendre en compte toute structure avec laquelle l’entreprise travaille et qui est susceptible d’accueillir ses données internes ou externes (comme l’expert comptable par exemple ou l’hébergeur). Enfin, toute entreprise s’engage à sécuriser les données et son système d’information en ayant fait une Analyse d’Impact (PIA : Privacy Impact Assessment).
L’Indépendant. Que ce passe-t-il si les entreprises n’ont pas respecté le délai du 25 mai 2018 pour réaliser tout cela ?
Vincent Podlunsek. Il ne faut pas jouer les psychoses mais rassurer les gens car on parle beaucoup des sanctions (jusqu’à 10 à 20 millions d’euros ou, dans le cas d’une entreprise, 2 à 4% du chiffre d’affaires annuel mondial selon les cas). Tout le monde n’est pas prêt, c’est une évidence et les entreprises ne risquent pas grand-chose pour le moment. Mais elles doivent au moins avoir entamé le chantier et il ne fait que commencer. Des groupements (experts en sécurité informatique, management de système d’information, analyse d’impact et juristes) se mettent en place pour sensibiliser et proposer des formations mais aussi des diagnostics, des conseils, des préconisations et des mises en place opérationnelles. Personne ne doit paniquer, mais tout le monde doit s’y mettre.
Stéphane Sicard (L'Indépendant, le 28 mai 2018)
Il y a actuellement 0 réactions
Vous devez vous identifier ou créer un compte pour écrire des commentaires.