Home > Nouvelles > RGPD : quelles implications pour votre entreprise ? (ICT version)
Filtrer les nouvelles :

Newsletter

RGPD : quelles implications pour votre entreprise ? (ICT version)

RGPD : quelles implications pour votre entreprise ? (ICT version)

Le Règlement Général sur la Protection des Données, mieux connu sous l'abréviation RGPD (GDPR en anglais), impose des règles en matière de traitement et de conservation de données à caractère personnel en entreprise. En matière de respect du RGPD, le responsable ICT de votre entreprise a un rôle crucial à jouer.

 

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen ayant force de loi en Belgique. Il impose des règles en vue de protéger les données à caractère personnel et la vie privée des citoyens européens.

Toute entreprise qui traite et stocke des données à caractère personnel a l'obligation de protéger ces informations.

Chaque État membre possède une Autorité de protection des données (APD, l'ancienne Commission de la protection de la vie privée).

Son rôle : veiller au respect du RGPD et infliger des amendes en cas de violation. Elle n'hésite d'ailleurs pas à le faire:

 

Qu'entend-on au juste par "données à caractère personnel" ? 

On entend par « données à caractère personnel » toutes données permettant d'identifier des personnes physiques, comme le nom, la date de naissance, le numéro de téléphone... Dans une entreprise, il s'agit surtout de données de clients et de collaborateurs.

Toutefois, les données provenant de systèmes de sécurité d'accès par badge, de reconnaissance de plaques minéralogiques ou de caméras de surveillance tombent également sous l'application du RGPD.

Une entreprise a le droit de collecter ce type de données, mais jamais sans l'accord de la personne concernée.

De plus, l'utilisation de ces données doit se limiter à la finalité pour laquelle elles ont été collectées et leur délai de conservation est limité au temps strictement nécessaire. 

 

Répertorier les données

  1. La première étape consiste à répertorier très précisément les données collectées par votre entreprise et la façon dont elles sont traitées.
  2. Concertez-vous avec les différents départements (ventes, marketing, HR, comptabilité…) afin d'identifier les données dont ils ont besoin et les modes de traitement utilisés.Vous pourrez ainsi directement constater si certaines données ne sont pas collectées ou traitées en double.
  3. Définissez des procédures pour la gestion et l'adaptation de ces données.
  4. Un grand principe du RGPD est que chacun a le droit de consulter les données le concernant, de demander leur adaptation et, dans certains cas, de les faire supprimer.
  5. Définissez également des procédures à ce sujet.

 

Établir un registre

Le RGPD impose aux entreprises de tenir à jour un registre des activités de traitement. En principe, cette obligation ne concerne pas les entreprises de moins de 250 collaborateurs, sauf si elles traitent régulièrement des données à caractère personnel. Comme un fichier clients, des données HR… Les petites entreprises ont donc elles aussi besoin d'un registre des activités de traitement.

Ce registre dresse un récapitulatif des activités de traitement. Il doit notamment contenir les informations suivantes : le nom et les coordonnées de contact du responsable du traitement, les finalités du traitement, les différentes catégories de données à caractère personnel, les destinataires de ces données à caractère personnel, leur délai de conservation et, si possible, une description générale des mesures de protection mises en œuvre.

Le registre peut être tenu à jour sur papier ou support électronique. Le site web de l'APD propose un modèle.

 

Analyser votre infrastructure ICT

L'étape suivante consiste à vérifier sur quelle infrastructure ICT sont traitées les données à caractère personnel.

  • Quels serveurs et systèmes contiennent des données à caractère personnel ?
  • Quelles banques de données et quelles applications sont utilisées pour le traitement ?
  • Quelle protection est mise en place ?

Inutile de le préciser : il faut protéger les données pour éviter qu'elles ne tombent dans de mauvaises mains.

En dehors de l'entreprise (des pirates informatiques qui s'empareraient de votre fichier clients, par exemple), mais aussi en interne (accès aux données par des collaborateurs non autorisés).

Méfiez-vous également du "Shadow IT", ces systèmes IT et applications amenés dans l'entreprise par les utilisateurs eux-mêmes. Songez aux apps de messagerie utilisées à la place de l'e-mail, ou à ce vendeur qui emporte avec lui ses données clients sur une clé USB non protégée, "parce que c'est plus facile"...

 

Que faire en cas de perte de données ?

Toute entreprise doit également définir une procédure pour signaler les infractions impliquant des données à caractère personnel ("perte de données" ou "data breach" en anglais).

Une perte de données peut prendre diverses formes. Un laptop ou une clé USB volés ou perdus, un pirate informatique qui intercepte des données clients...

Les entreprises sont tenues d'enregistrer toute perte de données dans un registre interne. Elles doivent mentionner la cause de l'incident, les données concernées et les mesures prises pour y remédier.

Si la perte de données implique un risque pour les droits et libertés de la personne concernée, il convient d'avertir également, dans les 72 heures, l’Autorité pour la protection des données. Et si ce risque est élevé, la personne touchée doit aussi être informée.

C'est notamment le cas lorsque des informations sensibles ont été subtilisées (informations financières ou de santé, documents officiels, mots de passe , etc.).

Vous devez également préciser quelles mesures vous avez prises pour remédier à cette perte de données et éviter pareils incidents à l'avenir. De même que les mesures recommandées aux personnes concernées pour limiter les dégâts.

 

En apprendre plus pour protéger votre compagnie

 


 

Etes-vous intéressé de donner votre avis et d'échanger vos idées de comment intégrer proactivement l'ICT Security dans votre entreprise?

Contact