Les données sont omniprésentes et désormais au cœur de la chaîne de création de valeur des entreprises. Bien gérées et sécurisées, elles permettent de gagner en efficacité et en compétitivité, de personnaliser et de conforter la relation avec les clients, de conquérir de nouveaux marchés, d’améliorer les produits et services et de faciliter la collaboration et la mobilité.
Pour s’adapter aux enjeux du numérique et garantir une meilleure maîtrise des données personnelles, une nouvelle régulation européenne, le Règlement Général sur la Protection des Données (RGPD), es entré en application le 25 mai 2018. Il renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données.
Qui est concerné par le RGPD?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne ;
- que son activité cible directement des résidents européens.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées
Sécurisez vos données
Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage.
Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.
Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.
Les failles de sécurité ont également des conséquences pour ceux qui vous ont confié des données personnelles. Ayez à l’esprit les conséquences pour les personnes de la perte, la divulgation, la modification non souhaitée de leurs données, et prenez les mesures nécessaires pour minimiser ces risques.
Bonne pratique
Pour évaluer le niveau de sécurité des données personnelles dans votre entreprise, voici quelques questions à se poser :
- Les comptes utilisateurs internes et externes sont-ils protégés par des mots de passe d’une complexité suffisante ?
- Les accès aux locaux sont-ils sécurisés ?
- Des profils distincts sont-ils créés selon les besoins des utilisateurs pour accéder aux données ?
- Avez-vous mis en place une procédure de sauvegarde et de récupération des données en cas d’incident ?
Signalez à la CNIL les violations de données personnelles
Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez la signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer. À l’issue de cette étape, vous serez en capacité d’assurer une protection des données personnelles en continu et de faire face aux incidents.
Pour passer à l’action et vous faire accompagner dans vos démarches, consultez les experts de 2SI.
Source : Source : Extrait du guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises.
BPI France – CNIL
Vous avez envie de nous suivre ? Nous sommes sur les réseaux sociaux Facebook, Twitter et Linkedin. A tout de suite !