La protection des données est un enjeu stratégique pour votre entreprise mais aussi une des préoccupations majeures de vos clients. A compter du 25 mai 2018, un nouveau règlement européen, le RGPD (ou GDPR), entrera en vigueur afin de simplifier, harmoniser et renforcer la protection des données personnelles. Il concerne toutes les entreprises qui collectent, traitent et stockent des données personnelles et dont l’utilisation permettrait d’identifier de manière directe ou indirecte une personne.

Tous les acteurs économiques sont concernés : entreprises, associations, administrations mais aussi collectivités locales (mairies, écoles). En effet, par données personnelles, nous entendons toute information concernant des employés, clients, fournisseurs et tout citoyen Européen. Par conséquent, toute entreprise et ses sous-traitants devront s’assurer d’avoir le consentement de toute personne quant à la collecte et au traitement de leurs données. Cette nouvelle réglementation impose notamment aux entreprises de signaler toute violation de données de ses comptes clients dans les 72 heures. Par ailleurs, elles devront garantir que les données sont sécurisées (risque de perte, de vol) et qu’elles sont en mesure d’effacer leur intégralité à tout moment.

Cela implique donc de contractualiser la protection des données dès le début de toute relation commerciale.

L’impact du RGPD sur l’organisation de votre système d’information sera bien réel, et comme un Iceberg, il y a une partie qui sera visible et l’autre non. Ceci doit donc vous inciter à faire évoluer votre système de sécurité informatique de la simple prévention sur le réseau à la détection des intrusions et leur correction en temps réel. Renforcer votre SI et la direction informatique avec la sécurisation de votre système d’information par la mise en place d’outils de gestion des données utilisateurs, une sécurité révisée et renforcée, et envisager très sérieusement la nomination du DPO (Data Protection Officer) qui peut être aussi le CIL (Correspondant informatique des Libertés) est donc une nécessité. Il vous faut dès lors alimenter votre réflexion autour de trois axes fondamentaux :

– Savoir où les données sont stockées en maîtrisant les processus de traitement des données au travers de la cartographie des processus de l’entreprise

– Maîtriser le chiffrement, la sécurisation et l’anonymisation des données

– Être en mesure de chercher, localiser et supprimer les données personnelles, tout en maîtrisant la croissance de celles-ci (autant sur la sauvegarde que l’archivage)

Cela concerne donc votre fichier client, celui du personnel, les images vidéo issue des caméras de surveillance, les données récoltées sur votre site internet…En résumé, toutes les données qui touchent de près ou de loin le citoyen européen sont protégées par le RGPD.

Bien que son impact sur l’organisation de votre système d’information soit bien réel, le RGPD doit être considéré comme une opportunité, et non comme des contraintes. En effet, se mettre en conformité est également une bonne manière de gagner en crédibilité et de bonifier votre image vis-à-vis de vos clients.

Le sujet est vaste, n’hésitez pas à contacter RISP pour vous assister dans cette nouvelle évolution de votre SI.

Protect cloud information data concept. Security and safety of cloud data