Etes-vous prêt pour le GDPR ? 3 moyens de s’assurer que vous êtes au point pour continuer d’accompagner vos clients.

Les failles de sécurité vont être en tête des préoccupations des entreprises cette année, surtout lorsque l’on sait que celles-ci ont atteint de nouveaux records en 2016 avec une hausse de 40 % par rapport à 2015.

L’an prochain, les organisations et les entreprises devront s’inquiéter lorsque le Règlement Général sur la Protection des Données (GDPR) entrera en vigueur. En effet, ce règlement rend responsable toutes les organisations au regard de la sécurité des données de leurs clients. Si la moindre faille apparaît, alors les organisations en causes pourront être sanctionnées à hauteur de 20 millions d’euros minimum ou bien à verser 4% de leur chiffre d’affaires – selon le montant le plus élevé. Par exemple, le hacking qu’a subi Tesco Bank en novembre dernier lui aurait coûté la modique somme de 1,9 milliard si celui-ci avait eu lieu après le 25 mai 2018.

A une plus grande échelle, les répercussions du GDPR vont se pencher du côté de la coopération entre les entreprises et de leur utilisation de la technologie – peu importe leur secteur et leur base clients. Les partenaires revendeurs, jouant un rôle crucial de conseiller en investissement technologiques auprès de leurs clients, doivent donc être proactifs et informés afin de pouvoir s’assurer que leurs clients sont bien préparés à accueillir ce changement. Du coup, que faire pour être sûr d’accueillir le GDRP dans les meilleures conditions ? Voici 3 étapes à suivre pour commencer.

1. Renseignez-vous sur la réglementation et évaluez tant l’accès aux données que le profil de vos utilisateurs

Avant l’arrivée du GDPR, rien n’avait changé depuis 1995 en termes de protection des données. A l’époque, très peu de mobiles et d’ordinateurs portables étaient en circulation, et les tablettes, smartphones et clés USB n’avaient pas encore fait leur apparition. Rien n’était prévu dans la précédente législation pour couvrir les données issues de ces nouvelles technologies. Ce nouveau contexte vous oblige à anticiper, car inévitablement, votre façon d’interagir avec les technologies liées à votre entreprise est susceptible de changer.

Prenez donc le temps de regarder en détail comment la réglementation interfère avec votre activité. Pour bien commencer, vous pouvez tout à fait vous rendre sur la page de la CNIL dédiée au GDPR  qui est régulièrement mise à jour. Assurez-vous de bien comprendre toutes les spécificités liées à la portabilité des données, la responsabilité, la gouvernance et les exigences concernant les services de protection de données. Ce travail vous permettra d’identifier les points de contact technologiques, les accès aux données, et les autorisations utilisateurs à surveiller et à mettre en ordre.  

Avoir une compréhension approfondie du GDPR, des exigences et sanctions lui étant liées, vous permettra d’appréhender avec succès les étapes suivantes, d’évaluer votre situation actuelle en matière de protection de données, et de donner à vos clients les meilleurs conseils possibles.

2. Définissez un plan de protection et de traitement des données 

Une fois plus en phase avec le GDPR, vous verrez clairement où investir en matière de technologie, de partenariats et de recrutement (par exemple des délégués à la protection des données) afin d’être conforme à la nouvelle législation. De même, pensez à créer un rétroplanning reprenant les grandes dates auxquelles la nouvelle structure et les changements juridiques doivent être opérationnels.

Une grande partie de ce travail de conformité au GDPR se retrouve dans l’adoption de cryptage de données et d’outils de protection des données clients. L’une des plus grandes zones d’ombres pour les entreprises reste les matériels manquants tels que les ordinateurs portables.  Trop souvent, des employés stockent et transportent des données clients sensibles via des ordinateurs portables non cryptés et se risquent à des failles de sécurité et des fuites d’infos si jamais leur matériel se retrouvait en de mauvaises mains. Le cryptage matériel est primordial, et s’oppose radicalement à l’approche traditionnelle du cryptage logiciel jusqu’alors utilisé par les entreprises. Pour être conforme à la nouvelle réglementation, il est donc essentiel de protéger toutes les informations stockées sur vos ordinateurs de bureau, et pour cela, la démarche la plus simple est encore de remplacer tous les disques durs vulnérables (offrant peu de cryptage ou de mauvaise qualité) par des SSD plus rapides et sécurisés, offrant une meilleure protection des données sensibles contre le hacking, la perte ou encore le vol et cela en cryptant directement sur les données sur le SSD pour une sécurité renforcée.

Planifier et exécuter une stratégie solide afin de s’assurer que l’on est conforme au GDPR donne un bel exemple pour vos clients, ainsi qu’un premier aperçu des challenges et opportunités auxquels ils vont devoir faire face.


3. Informez et éduquez vos employés et clients

Tout au long du process, vous vous devez d’être transparents avec vos employés et clients sur le fait que vous êtes de voie de conformité avec le GDPR. Le déploiement de nouvelles régulations ou technologies sera un succès seulement si l’ensemble de ces derniers ont bien connaissance de ces changements et du rôle qu’ils doivent jouer. C’est en étant ouvert que vous serez en mesure de créer une nouvelle culture d’entreprise valorisant la sécurité des données et la protection. De même, informer vos clients au sujet de votre stratégie GDPR permettra d’initier un début de dialogue avec ces derniers, pour voir comment ils peuvent progresser sur leurs propres normes.

Un tel bouleversement réglementaire comme le GDPR peut être l’occasion de réévaluer vos propres applications, architecture-système, procédures de sécurités etc – et il en est de même pour vos clients. En investissant du temps pour comprendre le GDPR et être incollable, et en venant à bout du process visant à implémenter votre propre stratégie de conformité, vous n’aurez qu’encore plus de valeur ajoutée aux yeux de vos clients.