Free ShippingON ORDERS OVER $99
Pour de nombreuses entreprises, se mettre en conformité avec ce Règlement Général sur la Protection des Données va induire de grands changements en interne. La CNIL préconise ainsi de suivre six étapes pour assurer sa transition afin d’être prêt en mai 2018.
En vue de piloter la transition et superviser le bon fonctionnement d’une politique de collecte, il est conseillé de désigner un responsable dédié à la protection des données. C’est même une obligation pour les organismes publics et les entreprises qui traitent des données personnelles sensibles. Ce chef d’orchestre est là pour conseiller les employés et contrôler que le RGPD est bien appliqué. C’est lui, en cas de doute ou de litige, qui assurera le lien avec l’autorité de contrôle.
Pour mesurer l’impact du RGPD, il convient de se lancer dans un état des lieux. L’idée est de recenser le volume de données collectées, en déterminant qui elles concernent, les objectifs poursuivis et – le cas échéant – les prestataires qui les traitent. Une fois ces éléments-clés connus, l’entreprise pourra créer et tenir un registre précis des données, de manière à les localiser facilement.
Une fois le registre créé, l’étape suivante est d’identifier les manquements actuels. Parmi les actions immanquables, les entreprises doivent s’assurer que les données collectées leurs sont utiles et entrent dans un cadre juridique clair. Elles doivent aussi permettre aux personnes d’exercer leurs droits à l’oubli, à la portabilité et à contester le profilage. Elles vont devoir s’assurer que le niveau de sécurité est maximal, et enfin, veiller à ce que leurs sous-traitants se plient également à toutes ces mesures.
La cartographie doit servir à identifier les traitements de données faisant courir un risque potentiel pour les droits et les libertés des personnes. En cas de doute, les entreprises vont devoir monter une étude d’impact sur la protection des données. Cette étude va permettre de pointer les failles potentielles, et de déterminer les meilleurs outils pour les colmater. La CNIL propose plusieurs catalogues de bonnes pratiques sur son site.
Pour assurer une sécurité maximale, gérer les failles, ainsi que les demandes de rectification, l’entreprise doit mettre en place des processus internes de réponses rapides et automatisées. Ce sont des actions à mettre en place en amont de la création d’un cookie, d’une application ou d’un nouveau traitement. Ce processus interne est également primordial pour se mettre en conformité avec l’obligation de signaler tout épisode de violation dans une limite de 72 heures à l’autorité de contrôle et aux personnes concernées.
Les entreprises sont tenues de créer un dossier regroupant tous les documents qui permettent de prouver que le traitement des données est conforme au RGPD. Ce dossier comportera le registre des traitements, les études d’impact sur la protection des données et l’encadrement des transferts de données hors de l’UE. Il présentera aussi les mentions d’informations, les modèles de demande de consentement aux personnes et les procédures mises en place pour qu’elles puissent exercer leurs différents droits. Enfin, ce document regroupera tous les contrats, notamment avec les sous-traitants, et explicitera les procédures et les responsabilités de chacun, en cas de violation des données.
Une bonne application du Règlement Général sur la Protection des Données passe d’abord par des pratiques irréprochables en interne. L’enjeu est d’éviter tout risque de fraude, et assurer la sécurité de l’entreprise, des employés, des clients et des consommateurs. Voici 15 bonnes pratiques à respecter :
Formez vos employés aux risques d’usurpation d’identité et d’espionnage économique.
Assurez-vous toujours que des documents n’ont pas été oubliés dans le local des photocopieuses et les salles de réunion. Les mots de passe ne doivent jamais être divulgués ou écrits sur des papiers.
Assurez-vous que les documents soient toujours supprimés avec un destructeur et pas simplement jetés à la corbeille. N’oubliez pas non plus de détruire les CD et DVD.
Veillez à ce que les documents imprimés, une fois qu’ils ne sont plus utiles, soient systématiquement détruits avec un destructeur de documents, notamment pour ne pas tomber dans les mains de la concurrence ou de personnes malveillantes.
De manière à faciliter la démarche à vos employés pour détruire les documents, placez un destructeur dans chaque service.
Une fois que vos documents ne vous sont plus utiles, veillez à les ranger dans des boites d’archives.
Ne laissez jamais de documents en évidence sur votre espace de travail. En fin de journée, rangez-les toujours dans une armoire sécurisée ou fermée.
Les clés des différents services et différentes armoires (notamment celles contenant des données personnelles collectées) doivent être gardées dans un endroit sûr et supervisé, de préférence, par un responsable attitré tenant un registre.
Mettez en place des procédures encadrées et strictes pour tout déplacement ou transfert de documents, particulièrement les données personnelles collectées.
Veillez à ce que des logiciels anti-virus soient installés sur tous les ordinateurs, systématiquement à jour et que le réseau soit doté d’un pare-feu de nouvelle génération pour réduire son exposition.
Les accès mobiles doivent être sécurisés, en mettant par exemple en place des systèmes d’authentification à deux facteurs.
Lorsque les ordinateurs ou les serveurs sont changés, jetés ou revendus, assurez-vous que les disques durs ont été correctement nettoyés, avec plusieurs repasses.
Protégez vos données en les rendant hors de vue grâce à l’installation de filtres de confidentialité.
Les droits d’accès des responsables doivent être régulièrement réexaminés, quitte à mettre en place une gouvernance tournante. Ceux des sous-traitants doivent être limités au strict nécessaire.
L’identité des clients doit être régulièrement vérifiée. Nouveaux comme anciens.