Le Règlement général sur la protection des données (RGPD) vous responsabilise sur le traitement des données personnelles que possède votre entreprise. Maîtrisez-vous ces règles de sécurité des données ?
Adopté par le Parlement européen en 2016, et entré en vigueur en 2018, le RGPD (Règlement général sur la protection des données) est venu répondre à un souhait émis par plus de 90 % des Européens : que les données personnelles soient protégées à la même échelle dans toute l'Union européenne. Depuis l'adoption du RGPD, les organisations implantées dans l'UE ont donc le devoir d'être extrêmement rigoureuses avec le traitement des différents flux de données personnelles, au risque de tomber dans l'illégalité.
Par conséquent, si vous tenez les rênes d'une entreprise, vous devez comprendre les enjeux d'un RGPD afin de mettre en place des méthodes de bonne hygiène numérique, dans une logique de cybersécurité, et garantir la sécurité des données personnelles que vous possédez. Dans cet article, nous vous proposons un récapitulatif des bonnes pratiques afin de rester à la page en matière de RGPD.
Comprendre ce qu'est une donnée personnelle
Pour assimiler les objectifs du RGPD (Règlement général sur la protection des données), il est important, pour vous en tant que chef d'entreprise, mais également pour vos collaborateurs, de savoir ce qu'est une donnée personnelle.
La Commission nationale de l'informatique et des libertés (CNIL) définit une donnée personnelle de la manière suivante : une donnée personnelle est une information qui concerne une personne physique identifiée ou identifiable, de façon directe avec son nom et prénom, ou de façon indirecte avec un identifiant, un numéro de téléphone, une adresse e-mail, ou encore une donnée biométrique.
Les données sont ensuite traitées avec un objectif, comme celui de vendre un produit ou un service. Dans le cadre d'une campagne marketing, par exemple, une entreprise peut récupérer les adresses mail de contacts pour envoyer une publicité ou une newsletter. Par ailleurs, certaines sociétés spécialisées dans le domaine de la santé vont traiter des données personnelles jugées à caractère “sensible” comme des données génétiques.
Pour une meilleure sécurité des échanges de données
Avec autant de données partagées et échangées chaque jour, l'implémentation d'un cadre légal et harmonisé au sein des pays membres de l'Union européenne prend son sens afin d'éviter la fuite de données personnelles et donc de limiter la cybermalveillance, voire la cyberattaque.
C'est dans ce contexte que s'inscrit le RGPD (Règlement général sur la protection des données) : il renforce le contrôle par les citoyens de l'utilisation qui peut être faite des données qui sont échangées lors de leurs activités sur Internet et oblige les entreprises à être transparentes dans leur traitement des données.
En tant que gérant de société, vous manipulez chaque jour des données personnelles, parfois sensibles, qui comportent des informations pouvant identifier vos clients ainsi que vos collaborateurs, et vous-même. Le RGPD vient donc s'assurer que le traitement des données auxquelles vous avez accès est réalisé en toute conformité et de manière sécurisée.
Il est primordial d'adopter les bons réflexes en matière de protection des données personnelles lorsque vous êtes chef d'entreprise. En effet, assimiler les notions développées dans le RGPD (Règlement général sur la protection des données) peut permettre d'éviter une attaque cyber qui viserait à la récupération et à l'exploitation malveillante de ces données personnelles. En plus de la dangerosité qu'une fuite de données implique, cet événement ne ferait pas bonne presse à votre entreprise qui pourrait être vue comme négligente.
Comment rester conforme au RGPD ?
Sur son site Internet, la CNIL (Commission nationale de l'informatique et des libertés) qui agit comme l'autorité compétente en matière de conformité au RGPD, propose aux chefs d'entreprise d'implémenter des actions concrètes pour la sécurité de leurs données :
- Constituer un registre de traitement des données qui permet d'avoir une vue d'ensemble des données traitées et savoir quel collaborateur de votre entreprise utilise quelles données personnelles (votre chargé de marketing utilise les données des prospects pour mieux les atteindre par exemple, quand un responsable des ressources humaines s'occupe des données de futures recrues).
- Trier les données personnelles et déterminer leur accès en fonction du rôle de vos collaborateurs et de l'objectif du traitement des données. Il faut également supprimer les données devenues obsolètes.
- Respecter l'obligation de transparence sur le traitement de vos données : à travers des mentions légales sur votre site Internet ou tout autre support, vous devez mentionner si des données personnelles sont collectées et préciser dans quel but. Indiquez qui accède aux données et combien de temps elles sont conservées. Vous pouvez rédiger une politique de confidentialité pour donner le détail de votre politique de protection des données personnelles que détient votre entreprise.
- Renforcer la sécurité des données personnelles contre le risque de cyberattaque ou la perte liée à un problème technique. Ici, il vous est demandé d'appliquer les mesures de bonne hygiène numérique en réalisant des mises à jour fréquentes de vos bases de données et de vos outils, sécurisant l'accès aux données avec un processus rigide d'identification, et faire des sauvegardes régulières des données.
- Utiliser une solution cloud certifiée. Si vous utilisez un service cloud pour stocker certaines données personnelles ou pour leur traitement (en mode SaaS, PaaS ou IaaS), assurez-vous qu'il respecte le Code de conduite cloud de l'UE prévu par le RGPD (Règlement général sur la protection des données).
Le RGPD (Règlement général sur ma sécurité des données) n'a désormais plus de secret pour vous !
Et n'oubliez pas : en restant conforme à ce règlement européen pour la sécurité des données que possède votre entreprise, vous améliorez durablement votre relation client qui se transforme en une relation de confiance.
De même, vous vous protégez contre les éventuelles plaintes en cas de manquement, notamment de la part de la CNIL (Commission nationale de l'informatique et des libertés), et renforcez votre cybersécurité.