Ce qu’il faut impérativement faire depuis le 25 mai pour être conforme au RGPD

La nouvelle réglementation générale de l'UE sur la protection des données (RGPD) est effective depuis le 25 mai, à l’issue d’un processus de préparation débuté en 2012, et d’une production très dense de contenus sur le sujet.

Dès la fin de cette période de transition, les premières plaintes ont été déposées et les premières amendes menacent de pleuvoir sur les retardataires. Le nouveau règlement va profondément impacter les entreprises qui traitent et stockent les données personnelles des citoyens de l'UE. Et dans un monde numérique affranchi des frontières, même les entreprises situées en dehors de l’Europe, qui traitent avec un partenaire européen, sont concernées, comme par exemple le Royaume-Uni, qui est tenu de s’y conformer, malgré le processus de Brexit.

Le montant des amendes peut atteindre 4% du chiffre d'affaires annuel mondial de toute entreprise contrevenante, ou 20 millions d'euros – le montant le plus élevé étant retenu. Même si l’échéance est désormais dépassée, il est encore temps pour les entreprises de s'assurer qu’elles sont prêtes. Et vu le montant que peuvent atteindre les amendes, mieux vaut vérifier deux fois qu’une, en suivant cette liste de préconisations.

Partager l’information avec tous les collaborateurs

Pour gérer l’entrée en vigueur du RGPD, certaines entreprises et organisations ont nommé des délégués à la protection des données (DPD), et initié une véritable ruée pour ce type de profil. Un DPD est à la fois un expert et un défenseur du RGPD : il incite l’entreprise au grand complet à adopter les bonnes pratiques en la matière, et peut aussi recommander des outils pour faciliter la sauvegarde des données en cas d'attaque de l'entreprise.

Les entreprises qui choisissent de ne pas faire appel à un DPD doivent néanmoins garder à l’esprit que le RGPD touche l’ensemble de leurs activités, et donc s’assurer que toutes les parties prenantes ont une parfaite compréhension de ce qu’implique et impose la nouvelle réglementation et son impact sur les activités de l’entreprise.

Faire un audit complet des données

Il est indispensable, à l'heure actuelle, pour les entreprises de tout savoir des données personnelles dont elles disposent, l’endroit et la façon dont elles sont stockées, et leur provenance. Elles doivent également savoir la raison pour laquelle elles détiennent ces informations et la façon dont elles se les sont procurées, des éléments sur lesquels les agences chargées de l’application du RGPD en local n’hésiteront pas à les questionner.

Les entreprises qui n’ont pas encore une parfaite connaissance de leurs données doivent impérativement trouver des réponses à ces questions encore en suspens. Car, depuis le 25 mai, la loi stipule qu’il est obligatoire pour elles de justifier la base juridique qui sous-tend les activités de traitement de leurs données. Et il n’y aura pas d’indulgence, de la part des autorités, à l'égard des entreprises victimes d’un piratage informatique et qui ne pourront pas assurer la sécurité des informations qu’elles stockent.

Réévaluer les droits régissant la protection de la vie privée

Ce que le RGPD a introduit de plus novateur est le renforcement des droits des citoyens sur leurs données. Un chiffre met particulièrement bien en perspective cette évolution :  Google a reçu 2,4 millions de demandes de suppression de résultats dans son moteur de recherche durant les trois dernières années. Et ce nombre devrait augmenter rapidement à mesure que les internautes vont prendre conscience de leur droit à l’oubli.

Dès maintenant, les citoyens vont pouvoir demander à consulter leurs données ou à les récupérer pour eux-mêmes, dans un format adapté à l’usage individuel. Il y a un risque que ce droit ne surcharge l’activité quotidienne des entreprises ; c’est pourquoi il est important pour elles de connaître la localisation de chaque point de données pour y accéder rapidement et ne pas perdre trop de temps et de ressources dans cette tâche.

Prévoir les fuites de données avec un plan de secours

Le RGPD stipule que les organisations ont 72 heures maximum pour signaler toute fuite de données découverte. C’est un laps de temps assez court, surtout lorsqu’on sait que les jours qui suivent un piratage sont toujours très chargés, entre l’enquête criminelle et la lutte contre toute nouvelle intrusion. C’est pourquoi il est important de déployer les bons processus qui permettent de détecter, de signaler et de contrer un piratage, le cas échéant, à l’image d’un logiciel de reporting ad hoc par exemple. Cela permet aux entreprises de gagner du temps en préparant leur rapport de conformité si elles connaissent l’emplacement des référentiels de sauvegarde. Si elles sont victimes d’un logiciel malveillant rendant les données indisponibles, il peut être facile de les restaurer avec une solution de récupération.

S’améliorer dans la continuité

S’appuyer sur un plan est un bon début, mais l’améliorer jour après jour, c’est encore mieux, pour progresser sur la disponibilité, la qualité et la sécurité des données, devenues la ressource la plus précieuse de ces dernières années.

Le paysage numérique est amené à se transformer dans les prochaines années. Les entreprises doivent savoir évoluer avec leur temps, en s’appuyant sur la technologie. Car le 25 mai n’a pas marqué la fin du RGPD, mais plutôt son commencement !