Le RGPD responsabilise les entreprises en matière de sécurité des données

2018 sera marquée par l’échéance de l’application obligatoire de la RGPD par les entreprises en France. Voici ce que cette réglementation implique en termes de responsabilisation sur la protection des données.

L’Union Européenne ne fait pas exception en matière de circulation quotidienne de données sur son territoire, entre les entreprises, autorités publiques et individus. Pourtant, chaque Etat dispose encore de ses propres règles de protection des données. La directive européenne du Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais), entrée en vigueur le 5 mai 2016, apporte un cadre commun à cet ensemble. L’échéance de son application obligatoire par chacun des Etats membres est prévue pour le 6 mai 2018. Son but ? Redonner aux citoyens le contrôle sur leurs données personnelles, et simplifier l’environnement réglementaire des entreprises, tout en permettant à tous les acteurs de tirer au maximum partie de l’économie digitale. Malgré l’existence de cette réglementation, les données des entreprises peuvent-elles tomber entre de mauvaises mains ?

Les entreprises se responsabilisent en 2018

Aujourd’hui, les gouvernements du monde entier reconnaissent l’importance de la sécurisation des informations et incitent les entreprises à appliquer la réglementation en vigueur, en particulier les directives hors sites pour la protection et la prévention de la perte des données. Le cloud est la technologie que les entreprises doivent privilégier, car elle simplifie la protection et la sauvegarde des données. Le caractère flexible, évolutif et économique du cloud hybride représente un véritable intérêt pour les administrateurs informatiques. Son usage est en plein développement sur le marché français, où 25% des entreprises ont déjà mis en place une infrastructure informatique basée sur le cloud hybride.

Avec la nouvelle directive européenne, les patrons d’entreprise doivent maintenant s’assurer que toute information personnelle obtenue de la part d’un utilisateur individuel, par exemple lors d’une procédure d’inscription à un service, soit récoltée de façon légitime. Le choix du système de stockage des données devient alors un élément essentiel et par la même occasion le choix du fournisseur adéquat pour soutenir l’entreprise dans cette adaptation réglementaire. Néanmoins, les dispositions de protection prévues par la GDPR dépendent du type de données concernées et du secteur d’activité de l’entreprise ; cela implique que, dans certains cas, une directive sectorielle préexistante qui serait plus contraignante que la directive européenne vienne la supplanter.

Aller au-delà des mesures habituelles de protection

Chaque entreprise a déjà une responsabilité implicite de protéger ses données numériques et de faire des sauvegardes régulières. L’autre disposition importante à adopter est de former ses collaborateurs à la protection des données, avec la consigne prioritaire de ne pas transmettre les données personnelles à un individu ou une organisation tierce, sans disposer au préalable de l’accord de la personne concernée.

Pourtant, il ne suffit pas de conserver les données dans un emplacement sécurisé : elles doivent également être mises à jour régulièrement et ne pas être conservées au-delà du temps nécessaire. Toutes les données des clients dont le contrat de travail arrive à terme doivent impérativement être supprimées. Les entreprises doivent appliquer des mesures de sécurité adaptées pour empêcher n’importe quel acteur tierce d’accéder à ces informations de façon illégale. Pour cela, elles peuvent passer des accords avec les fournisseurs cloud, pour s’assurer de la mise en place d’une solution appropriée d’exportation des données à l’extérieur de l’Union européenne.

Enfin, il convient de rappeler qu’en Europe, aucune information ne peut être transférée vers un Etat non-membre de l’Union Européenne sauf exemption, et aucune information privée détenue par une entreprise ne peut être mise à disposition sur le web ou dans d’autres data centers. Le principal objectif du RGPD est de protéger les individus et d’assurer que toutes les informations d’ordre privé détenues sur des bases de données distinctes soient gardées en sécurité.

Même si, théoriquement, toutes les entreprises devraient déjà avoir mis en place des mesures adaptées de conservation et de protection des données, ainsi qu’un accès garanti aux données pour des besoins d’identification ou d’effacement, ce n’est pas encore le cas pour de nombreuses PME. En attendant l’échéance de mai 2018 pour l’application de la directive, les entreprises se doivent de rester informées sur ce que la loi leur impose en matière de sécurité des données.