Maintenant que vous savez ce que représente le GDPR, et ce qu’il implique, vous vous demandez sûrement par où commencer. Car oui, le nouveau règlement européen attend des entreprises une refonte de leur système de gestion des données ; ce qui représente beaucoup de changements à effectuer, en un temps réduit. De plus, selon le cabinet d’études IDC, d’ici à 2018, le volume de données exploitables par les entreprises pourraient être cinq fois supérieur à celui d’aujourd’hui. Un constat qui ne fait que complexifier une mise en place déjà ardu du GDPR.
Nous avons donc listé pour vous un ensemble de marche à suivre, pour amorcer cette transformation dans les meilleures conditions et sans stress. Vous êtes prêts ? C’est par ici !
Préparation à la GDPR, mode d’emploi
Pour se mettre en conformité avec le règlement général sur la protection des données, plusieurs étapes essentielles sont à mettre en place :
Etape 1 – Recherche des données personnelles
Tout d’abord, connaître les différentes formes que peuvent prendre ces fameuses données personnelles, afin de savoir si votre entreprise en possède et effectuer un audit minutieux concernant les procédées que vous avez mis en place pour les gérer.
Etape 2 – Identifier l’approche de l’entreprise concernant ces données
Il faut ensuite mettre en place une réflexion autour du GDPR et de son application au sein de son entreprise (cette dernière étant différente d’une entreprise à une autre). Il est donc nécessaire de réfléchir à l’approche qu’a l’entreprise quant au traitement et au stockage de ces données. En plus d’avoir une meilleure vision de votre situation, cela vous permettra d’obtenir une meilleure appréhension des procédures imposées par le règlement, et d’identifier les mesures qui s’appliquent à votre cas précis.
Pour réaliser cette étape dans des conditions optimales, notons qu’il est indispensable de bien comprendre la terminologie utilisée ici : données personnelles, le principe d’extraterritorialité, l’évaluation de l’impact sur la protection des données, etc. (pour en savoir plus, un site sur le GDPR propose un glossaire – en anglais – où vous pourrez retrouver les différents termes liés au règlement, ainsi que leur définition).
Etape 3 – Localiser les données personnelles
Une fois ces deux premières étapes réalisées, il est temps de passer à la localisation des données personnelles qui gravitent au sein de votre entreprise. Il s’agit de la suite logique des étapes vues précédemment, indispensable pour la mise en conformité de votre structure.
Les données étant enregistrées dans votre système d’information interne, sur les postes de travail de vos collaborateurs, dans vos archives (numérique ou papier), dans celles d’autres sites, chez vos prestataires, fournisseurs, partenaires commerciaux susceptibles d’avoir traité des données personnelles pour vous, de les avoir hébergé, stocké, migré,… doivent être scrupuleusement analysées.
Tous les contrats avec les prestataires informatiques, en particulier ceux de Cloud Computing, devront être soigneusement passés en revue.
Etape 4 – Cartographier, classer et protéger les données
Une fois les données localisées, il vous faut maintenant réaliser une cartographie de ces dernières, et effectuer un classement de chaque information collectée. Cela vous permettra d’avoir une vision globale de toutes les informations, de quelque nature qu’elles soient, sur n’importe quel support, que votre entreprise possède. Le responsable des données sera alors en mesure de les localiser, d’y accéder et de les contrôler facilement.
Autre mot d’ordre à ce stade-là : la protection. Il s’agit d’établir des contrôles de sécurité vous permettant de prévenir, détecter et réagir aux vulnérabilités et violations de données dont votre entreprise pourrait être victime. Cela passe aussi par le chiffrement de vos données, mais nous vous en reparlerons plus en détails un peu plus bas.
Article 32.1 : “Le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris, entre autres, […] la pseudonymisation et le chiffrement des données à caractère personnel”.
Etape 5 – Définir les règles de rétention
A cette étape, vous savez où sont vos données, et comment y accéder. Vous devez donc maintenant faire le point sur vos règles de rétention actuellement effectives, et les mettre à jour pour qu’elles soient conformes aux exigences édictées par le GDPR. Il est nécessaire de définir la manière dont ces données seront utilisées, et établir un délai de rétention approprié, pour ne pas les conserver plus que nécessaire. Une fois ce délais dépassé, il faudra alors les détruire et être en mesure de s’en justifier. Vous devrez également vous assurer que, pour chaque donnée collectée, une demande de consentement ait été réalisée, et mettre en place un reporting afin de garder une trace de l’utilisation des données et avoir à disposition une documentation spécifique.
Etape 6 – Sensibiliser les parties prenantes et rester réactif
Une fois ces différents processus mis en application, une sensibilisation des différents parties prenantes de votre entreprise est nécessaire. Chacune d’entre elles devra connaître les obligations du GDPR et rester vigilante pour assurer la bonne conformité de l’entreprise sur le long terme.
Mais les changements réalisés ne suffiront pas si vous ne restez pas réactifs par la suite. Des révisions seront donc à programmer tout au long du cycle de vie de votre organisation pour analyser vos données, et systèmes, et ainsi vous assurer que vous rester bien conforme aux règles du GDPR. Cela sera également un moyen de réduire les risques intrinsèques aux données personnelles.
Sécurité de vos données : le chiffrement
Pour une meilleure compréhension, rappelons brièvement ce qu’est le chiffrement. Sur le blog de Kaspersky Lab on peut lire que “le chiffrement est un processus qui désigne la transformation de l’information de manière à ce qu’un tiers non autorisé ne puisse pas la lire ; néanmoins, une personne de confiance peut déchiffrer les données et y accéder dans sa forme originale […].”
Dans ce contexte, le chiffrement des données prend une place prépondérante. En effet, comme les données sont, aujourd’hui, constamment en mouvement, transitant d’une infrastructure à une autre en un simple clic, et s’étaient affranchies des frontières géographiques, les risques les concernant ont considérablement augmenté, de part leur accessibilité facilité. C’est là qu’intervient le chiffrement : grâce à lui, la confidentialité de vos données est préservée, même lorsqu’elles sont partagées à l’autre bout du monde par exemple.
—————————————————-
Arrivé à la fin de ce dossier, vous savez donc ce qu’est le GDPR, les changements majeurs qu’il induit, les sanctions qui peuvent être appliquées en cas de manquement, et les étapes à suivre pour y être conforme. Pour vous aider à mettre votre organisation en règle, OM Conseil vous accompagne tout au long de votre mise en conformité, de l’audit à la protection de vos données. Nos Experts sont à votre disposition pour répondre à toutes vos questions et vous proposer les meilleures solutions pour votre entreprise.