Le RGPD – Règlement Général sur la Protection des Données – en anglais GDPR, pour General Data Protection Regulation – est un nouveau règlement européen qui entrera en vigueur en mai 2018.

Conçu pour protéger les données personnelles des citoyens et consommateurs, ce nouveau cadre réglementaire a de lourds impacts sur les entreprises, qui vont devoir s'y adapter rapidement.

De nouvelles obligations

En résumé, les obligations qui vont désormais peser sur les entreprises sont de 4 ordres :

1. Obligation de tenir un registre des données personnelles, qui remplacera l'actuelle déclaration à la CNIL mais avec une inversion de la charge de la preuve:  jusqu'à maintenant, la CNIL devait démontrer les manquements et le responsable du traitement des données avait du temps pour régulariser sa situation. Demain, cela sera à l'entreprise de démontrer qu'elle est en conformité.
   
   
2. Instauration du principe de portabilité des données personnelles, pour les données transmises volontairement par une personne physique ou collectées du fait de son activité. Ces données pourront faire l'objet d'une appropriation par leur propriétaire qui sera en droit d'en demander le transfert ou la restitution. L'entreprise devra informer les personnes concernées de l'existence de ce droit et préciser le type de données pouvant faire l'objet d'un transfert.
   
   
3. « Privacy by design » : ce concept impose de prendre en compte le respect de la vie privée dès la conception d'un système d'information, d'une base de données, d'une application. Une application insuffisamment sécurisée ne serait donc pas conforme. L'entreprise doit placer le curseur sur le niveau le plus élevé en termes de protection de la vie privée. Chaque fois qu'elle initie un traitement, elle doit obtenir le consentement express (opt-in) et spécifique de l'utilisateur.
   
   
4. Obligation de notification des autorités en cas de violations de données à caractère personnel. Les entreprises, via leurs responsables des traitements informatiques et des données personnelles, devront alerter la CNIL dans les meilleurs délais en cas de compromission de données personnelles. Elles effectueront si possible une déclaration formelle dans les 72 heures après avoir pris connaissance d'un accès frauduleux à des données personnelles indûment exposées.

Le risque de lourdes sanctions

Afin de garantir le respect de ces obligations nouvelles, le RGPD prévoit de lourdes sanctions contre les entreprises en infraction : pour les manquements les plus graves, le montant des pénalités financières pourra atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le plus élevé de ces deux montants étant retenu.

On comprend bien qu'une amende de 20 M€ pourrait entraîner la disparition pure et simple d'une PME, tandis qu'une ponction de 4% de son chiffre d'affaires mondial pourrait faire basculer dans le rouge les comptes annuels d'une grande multinationale.

Dès lors, il n'y a pas de temps à perdre : les entreprises doivent envisager les solutions qui leur permettront de garantir la conformité avec le RGPD et ce dans un cadre budgétaire adapté eu égard aux risques de sanctions financières.

Mettre en place la traçabilité des accès aux données personnelles

On le voit, puisque ce sera désormais à l'entreprise de prouver qu'elle n'a pas commis de faute, la traçabilité des accès aux données personnelles devient un point critique.

« Quelles données personnelles sont consultées ou modifiées, et par qui au sein de l'entreprise ? » est la question à laquelle l'entreprise devra être en mesure de répondre rapidement et exhaustivement en cas d'enquête consécutive à la découverte d'une erreur ou d'une fraude.

Et c'est la qualité de la réponse de l'entreprise à cette question qui déterminera le niveau financier des éventuelles sanctions qui pourraient être décidées par les autorités.

Une solution simple à déployer

Contextor propose une solution simple, « Contextor GDPR », qui apporte une réponse globale en agissant à deux niveaux :

1. Déployer sur chaque poste de travail amené à traiter des données personnelles un module Contextor Interactive, qui disposera d'un script pour tracer chaque accès, en lecture ou en écriture, à une information sensible. Parce qu'il est totalement indépendant des applications existantes, ce module permet de superviser les accès à toutes les données personnelles, y compris celles traitées par d'anciennes applications ou des applications externes au SI de l'entreprise, sur lesquelles on ne peut pas intervenir.
   
   
   
   
   
2. Au moyen d'un module Contextor Galaxy, agréger sur un serveur l'ensemble de ces informations pour tous les postes de travail concernés dans l'entreprise : on aura ainsi une vision synthétique de la façon dont l'entreprise manipule les données personnelles nécessaires à son activité. Les accès injustifiés à des données personnelles peuvent être immédiatement détectés, et les mesures correctives mis en place très rapidement.

Avec ce dispositif, les responsables de la conformité GDPR disposent d'un outil efficace pour monitorer l'usage des données personnelles : au-delà des cahiers de procédures, l'exhaustivité de l'algorithme apporte une information incontestable.

En cas d'anomalie, l'entreprise sera en mesure de prouver aux autorités qu'elle a pris le sujet en compte dans sa globalité, et mis en place proactivement les outils et procédures lui permettant de s'assurer de sa conformité au RGPD.

Il vous reste moins de 11 mois avant le 25 mai 2018, alors n'hésitez pas à prendre contact avec Contextor pour en savoir plus sur la solution « Contextor RGPD ». Et si vous souhaitez avancer rapidement, pourquoi ne pas mettre en place un projet pilote dès cet automne ?