Se préparer à l'arrivée du règlement général sur la protection des données

Les législations sur la protection des données des clients n’ont pas changé depuis 1995, époque où les téléphones et ordinateurs portables étaient rares et où les tablettes, smartphones et clés USB n’existaient même pas. Vous devez donc anticiper l’évolution de vos interactions avec les technologies d’entreprise.

Les failles de sécurité sont une des préoccupations majeures des entreprises. En réalité, aucune d’entre elles n’est vraiment à l’abri.

Pour ne rien arranger, les entreprises auront bientôt une préoccupation supplémentaire avec l’entrée en vigueur l’année prochaine du Règlement général sur la protection des données (RGPD) de l’Union européenne. Ce règlement va rendre les entreprises responsables de la sécurité des données de leurs clients. Ainsi, les failles donneront lieu à des sanctions pouvant atteindre le plus important des deux montants suivants : 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.

Le RGPD a des répercussions plus vastes : il va transformer la façon dont les entreprises collaborent entre elles et utilisent la technologie, quel que soit le secteur ou le type de clientèle concerné. Les partenaires de distribution, qui jouent un rôle crucial en conseillant leurs clients en matière d’investissement technologiques, doivent se montrer proactifs et informés pour s’assurer que leurs clients (et eux-mêmes) sont préparés. Comment s’assurer que l’on est paré pour le RGPD ?

1.       S’informer sur le règlement et évaluer les accès et les utilisateurs des données

Les législations sur la protection des données des clients n’ont pas changé depuis 1995, une époque où les téléphones et ordinateurs portables étaient rares et où les tablettes, les smartphones et les clés USB n’existaient même pas. Aucune des précédentes législations ne traitait des données stockées sur ces appareils. Vous devez donc anticiper l’évolution de vos interactions avec les technologies d’entreprise.

En comprenant dans le détail le RGPD, ses exigences et ses sanctions, vous disposerez des connaissances de fond nécessaires pour passer avec succès aux étapes suivantes, évaluer votre cadre actuel de protection des données et fournir à vos clients les meilleurs conseils. La CNIL (Commission Nationale Informatique et Liberté) a récemment publié un guide pratique et simple pour se préparer à une mise en conformité en six étapes.

 

1.       Élaborer, puis adopter un programme pour le traitement et la protection des données

Une fois que vous aurez mieux cerné le RGPD, vous pourrez déterminer les domaines dans lesquels un investissement dans des nouvelles technologies, des partenaires et des embauches (par exemple des responsables de la protection des données) est nécessaire pour être en conformité. Vous devrez aussi établir un calendrier pour définir à quel moment de nouveaux changements réglementaires doivent intervenir, qu’ils soient structurels ou internes.

Une grande partie de la mise en conformité avec les dispositions du RGPD consiste à adopter des stratégies et des outils de cryptage afin de protéger les données de vos clients. Les failles provoquées par les disparitions de matériel, notamment d’ordinateurs portables, sont l’une des principales zones d’ombre pour les entreprises. Les salariés qui stockent et transportent des données sensibles de clients sur des ordinateurs portables non cryptés peuvent provoquer de coûteuses fuites d’informations et failles de sécurité si leur machine tombe entre de mauvaises mains. Sur ce point, le cryptage sécurisé au niveau du matériel est essentiel, une mesure qui tranche radicalement avec les politiques adoptées jusque-là par les entreprises, qui ne prévoyaient aucune protection de ce type, ou seulement un cryptage logiciel. Pour vous conformer au règlement, vous devez protéger la totalité des informations stockées sur les appareils de l’entreprise au niveau du matériel. L’une des méthodes les plus simples pour ce faire consiste à remplacer les disques durs vulnérables (n’offrant aucun cryptage, ou seulement des méthodes à l’efficacité limitée) par des disques Solid State Drive (SSD), qui offrent une protection renforcée des données sensibles contre le piratage, la perte et le vol en cryptant ces dernières directement sur le SSD.

La planification et la mise en œuvre d’une stratégie solide pour vous assurer que vous êtes en conformité avec le RGPD constitueront un point positif aux yeux de vos clients. En outre, ces derniers bénéficieront ainsi d’exemples concrets des éléments pouvant poser problème et de ceux représentant des opportunités.

2.       Informer et éduquer le personnel et la clientèle

Pendant le processus, vous devez expliquer clairement à vos salariés et clients que vous êtes en train de prendre des mesures pour vous mettre en conformité avec les dispositions du RGPD. Le déploiement de nouvelles réglementations ou technologies ne pourra fonctionner que si chacun au sein de l’entreprise est informé des changements en cours et du rôle qu’il doit jouer à ce titre. Ce faisant, vous commencerez à instaurer une nouvelle culture qui promeut la sécurité et la protection des données.

De plus, en informant vos clients au sujet de vos stratégies concernant le RGPD, vous pourrez aborder avec eux leurs progrès en la matière.

Les bouleversements réglementaires comme le RGPD peuvent créer de nouvelles opportunités de réévaluer vos applications, votre architecture, vos procédures de sécurité... ainsi que celles de vos clients. En prenant le temps de vous informer sur le sujet et en mettant en œuvre votre propre stratégie de mise en conformité, vous vous imposerez comme un allié auprès de vos clients. 

Chiffrement / Cnil