Depuis la mise en application de la RGPD, les problématiques de sécurité des données informatiques et de l’accès aux données des utilisateurs restent encore obscures pour de nombreuses entreprises. On vous éclaire.
Avec le nouveau Règlement général sur la protection des données en vigueur depuis le 25 mai 2018 (RGPD), les entreprises n’ont jamais été autant concernées par les enjeux en matière de sécurité et de vie privée.
Pourtant, les problématiques de sécurité des données informatiques et de l’accès aux données des utilisateurs restent encore obscures pour de nombreuses entreprises.
Une petite mise à niveau s’impose donc ! Dans cet article, nous vous présentons les éléments principaux de la nouvelle réglementation pour que vous soyez irréprochable en matière de contrôle des données !
RGPD : qu’est-ce que c’est ?
En vigueur depuis mai 2018, le Règlement général sur la protection des données (RGPD) a pour but d’harmoniser les mesures de protection des données entre tous les pays de l’UE.
Depuis cette date, les entreprises sont donc obligées de suivre de nouvelles règles pour se mettre en conformité avec la nouvelle législation.
Le RGPD concerne toutes les entreprises qui traitent les données personnelles de citoyens européens, quelle que soit leur taille.
Les employeurs devront ainsi s’assurer que les outils qu’ils utilisent pour récolter et sauvegarder les données soient en accord avec la réglementation sur les données personnelles.
Les entreprises de plus de 250 salariés devront également tenir un registre consultable à tout moment par la CNIL.
Toute violation de données devra être notifiée dans un délai de 72 heures, et en cas de non-respect du RGPD, les sanctions pourront aller jusqu’à 4 % du chiffre d’affaires annuel.
Dès lors, comment bien assurer la confidentialité et la sécurité des données personnelles de vos utilisateurs ?
Sécuriser ses données, étape par étape
Évaluer la situation
Pour commencer, il faut d’abord bien évaluer le niveau de sécurité actuel des données personnelles de vos utilisateurs dans votre entreprise. Pour cela, vous pouvez recenser les données collectées et les supports où sont stockées ces informations (serveurs, ordinateurs de bureau, disques durs, mobiles, cloud…). Puis, vous pouvez rédiger une liste des critères à remplir pour être en conformité avec le RGPD afin de pouvoir les comparer avec l’état actuel de la sécurité de vos données.
Astuce : dans votre liste, n’hésitez pas à identifier les problèmes à gérer ou les éléments actuels qui pourraient entraîner des risques pour les droits et les libertés des utilisateurs. Pour chaque point, vous devrez mener une analyse qui visera à rectifier un éventuel problème afin d’être en conformité avec la protection des données.
Informer les utilisateurs
Dans un deuxième temps, il va s’agir de faire prendre conscience à chaque utilisateur de la nouvelle réglementation et des enjeux en matière de sécurité et de vie privée.
L’article 32 insiste sur la nécessité de mettre en place des procédés qui vont garantir la confidentialité et l’intégrité des données, mais aussi des systèmes de traitement et des supports. L’accès aux données personnelles doit être facile et rapide en cas d’incident avec un utilisateur. L’entreprise doit donc être en mesure de fournir les informations dans un délai approprié.
Astuce : lors de la mise en place ou de la refonte de votre site web par exemple, pensez aux cookies, à la durée de conservation des données, aux mentions de bas de page, au consentement de l’utilisateur et à la confidentialité des données. Ces mentions apparaissent-elles clairement sur votre site ? Sont-elles regroupées au même endroit ? Où l’utilisateur peut-il les trouver ?
Gérer les risques
Il va ensuite falloir gérer au mieux les accès aux données afin de limiter les failles de sécurité. Pour cela, on peut mettre en place quelques moyens :
- authentifier les utilisateurs et gérer les habilitations,
- restreindre l’accès de manière à ce qu’un utilisateur puisse accéder seulement à ce dont il a besoin,
- tracer les accès aux différents supports,
- sécuriser les postes de travail et les serveurs,
- protéger le réseau informatique interne,
- archiver régulièrement les données de manière sécurisée,
- protéger les locaux (vidéosurveillance),
- crypter les données et encadrer la maintenance.
Être en mesure de prouver la conformité
Une fois vos données sécurisées, votre entreprise doit pouvoir être en mesure de prouver que c’est bien le cas. Pour cela, réunissez les documents nécessaires de manière à pouvoir les présenter rapidement en cas de contrôle.
Parmi ces documents, notons les modèles de recueil du consentement des utilisateurs et les documents qui prouvent que les personnes concernées ont donné leur consentement, le registre (si votre entreprise possède plus de 250 salariés), les contrats avec les sous-traitants et partenaires, ainsi que les procédures internes en cas de violation de données.
Découvrez l’essentiel à retenir sur la RGPD !
